文件上传漏洞

zzp

1 年前

本文及其建议与我的另一个靶场笔记一同食用

必须知道文件上传到了那里,否则就没有这个漏洞,这是一切的根本

基础知识(必须了解)

1.什么是文件上传漏洞:

上传文件的时候，如果服务器端脚本语言，未对上传的文件进行严格的验证和过滤，就有可能上传恶意的脚本文件，从而控制整个网站，甚至是服务器。

2.文件上传漏洞有哪些危害:

网站被控制，对文件增删改查，执行命令，链接数据库
如果服务器长久未更新，可以利用各种手段提权，导致服务器沦陷
同服务器的其他网站沦陷（旁站）

3.存在文件上传漏洞的前提:

有上传文件的功能
且上传到的目录，能够解析脚本语言（否则，405）
能够访问到上传的文件
符合以上三点就有可能存在文件上传漏洞。

4.文件上传漏洞如何查找及判断:

黑盒：使用扫描工具扫描打开网站。
黑盒：测试会员中心，测试后台。
白盒：直接撸源代码。

5.文件上传漏洞有哪些需要注意的地方:

拿到漏洞后要对漏洞类型进行区分，编辑器、第三方应用、常规等。
区分漏洞类型

6.关于文件上传漏洞在实际应用中的说明:

上传后门脚本获取网站权限。

7.什么情况会导致存在文件上传漏洞

1)本地文件上传限制被绕过
前端javascript验证
2)服务端过滤不严格被绕过
MIME类型检测绕过(Content-type检测)
扩展名检测绕过
文件内容检测绕过
文件解析漏洞导致文件执行(iis, apache, nginx)
3)服务端目录路径检测绕过
文件路径截断(0x00)
4)服务器配置不当(iis6.0 put直接写文件)
5)开源编辑器上传漏洞(fckeditor 自定义文件名，文件夹结合iis6.0解析漏洞，杀伤力*****
ewebeditor ：可以登录后台，配置允许上传的文件类型.asp)

测试思路

利用

具体可以看我靶场操作

目标:上传一句话木马：<?php eval($_POST['a'])?>

文件上传漏洞——绕过JS检测

客户端使用javascript对上传的文件做了限制，不允许上传以php结尾的文件。在本实验中，可以通过Burp拦截服务器响应包信息，修改限制条件，让.php为后缀的文件能够顺利上传。

1）上传一句话木马 eval.php，弹窗提示限制上传；
2）修改文件后缀为.jpg打开Burp开启拦截，点击上传文件，查看Burp中拦截到服务器的请求信息；
3）将Burp中拦截到的信息中.jpg格式修改为.php；
4）此时即可正常上传eval.php文件；
5）文件上传成功；

文件上传漏洞——绕过MIME类型检测

MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名，以及一些媒体文件打开方式。标准的文件上传组件中会自动上传文件的MIME类型，但是由于MIME类型是从客户端传递的，修改也不影响文件正常运行，因此通过BURP拦截和修改MIME类型可以轻易绕过此类检测。

常见的MIME类型：
超文本标记语言文本 .html text/html
普通文本 .txt text/plain
RTF文本 .rtf application/rtf
PDF文档 .pdf application/pdf
PNG图像 .png image/png
GIF图形 .gif image/gif
JPEG图形 .jpeg,.jpg image/jpeg
ASP .asp application/x-asap

步骤
1）上传一句话木马 eval.php，提示文件类型不正确，请重新上传！ ;
2）浏览器设置代理到BurpSuit，并开启拦截；
3）上传eval.php
4）在拦截的数据包中将application/octet-stream修改为image/jpeg;

文件上传漏洞——过滤不严格被绕过

有一些网站使用了黑名单过滤掉了一些关键的可执行脚本文件后缀。但黑名单不全或者被绕过，比如服务端过滤掉了后缀为.php的文件，但是没有过掉.php3等其他可执行的脚本文件后缀，攻击者就可以上传其他的可执行的脚本文件后缀到服务器上。

比如:禁止了php, asp, jsp,但是没有禁止php3, asa, cer, cdx,jspx等等.

常用的一些可执行的文件脚本后缀：
・ php , php2 , php3 , php5 , phtml
・ asp , cer , asa , cdx
・ aspx , ascx , ashx
・ jsp , jspx
・py

文件上传漏洞——绕过黑名单检测

黑名单检测：一般有个专门的 blacklist 文件，里面会包含常见的危险脚本文件扩展名，如：php、asp、aspx；

绕过方式:
1.使用大小写绕过（针对对大小写不敏感的系统如windows），如：PhP;
1）上传正常的php文件，无法上传；
2）将文件后缀.php修改为.Php；
3）上传.Php文件，上传成功；

2.不常见后缀绕过（php、php2、php3、php5、phtml、asp、aspx、ascx、 ashx、 cer、 asa、 jsp、 jspx 、cdx）。
1）上传正常的php文件，无法上传；
2）将文件后缀.php修改为黑名单中不存在的后缀
3）文件上传成功；（上传成功了也不一定会执行，需要看服务器是否支持）

3.特殊文件名绕过（后缀加 . 或者空格）修改数据包里的文件名改为test. php.或者test. php （有空格）由于这种命名格式在windows系统里是不允许的。所以在绕过上传之后windows系统会自动去掉点和空格。Unix/Linux系统没有这个特性。
1）上传正常的php文件，无法上传；
2）将文件后缀.php修改为.php. 或者.php ；
3）文件，上传成功；

4.0x00截断绕过文件名后缀就一个%00字节，可以截断某些函数对文件名的判断。在许多语言函数中，处理
字符串的函数中0x00被认为是终止符。
例:
网站上传函数处理xxx. php%00. jpg时，首先后缀名是合法的jpg格式，可以上传，在保存文件时
遇到%00字符丢弃后面的jpg,文件后缀最终保存的后缀名为xxx. php

在可以控制文件路径的情况下，使用超长的文件路径也有可能会导致文件路径截断.(系统都有对文件名长度有限制)

1）上传正常的php文件，无法上传；
2）将文件后缀.php修改为.php.jpg上传,burp抓包16进制模式php后面添加00；
3）文件，上传成功；
php版本小于5.3.4
php的gpc功能关闭

5. .htaccess文件攻击
通过move_uploaded_file函数把自己写的.htaccess文件覆盖掉服务器上的这样就可以解析定义名单了。

.htaccess文件用处：
通过.htaccess文件调用php解释器去解析一个文件名中只要包含 “aa”这个字符串的任意文件，
无论你文件名是什么样子，只要包含”aa”这个字符串，都可以被以php的方式来解析。

.htaccess文件内容：
<FilesMatch "aa" >
SetHandler application/x-httpd-php
</FilesMatch>

1）上传正常的php文件，无法上传；
2）将文件修改为文件名带aa的,后缀随便,例:aa123.txt；
3）文件，上传成功；

.htaccess文件内容：利用sublime 写好一下内容,另存为.htaccess 文件名
<FilesMatch "aa" >
SetHandler application/x-httpd-php
</FilesMatch>

6.解析绕过
1）Apache解析漏洞
一个文件名为test. php. aaa. bbb. ccc的文件，Apache会从ccc的位置往 php的位置开始尝试解析,如果ccc不属于Apache能解析的后缀名，那么 Apache就会尝试去解析bbb,这样一直往前尝试，直到遇到一个能解析的扩展名为止。
存在漏洞的版本: php版本小于5.6
配置文件 : AddType application/x-httpd-php .php 需要开启
创建文件名为: phpinfo.php.aaa.ccc 的文件放到phpstudy 的 www目录下

2）IIS解析漏洞(一般配备IIS6.0的服务器为Windows server2003)
#1 IIS6.0
@1：新建一文件名字为：任意文件名.asp;任意文件名.jpg 此文件会当成脚本运行
（1.asa;1.jpg,2.cdx;2.txt）
例子:@1：新建一文件名字为：任意文件名.asp;任意文件名.jpg 此文件会当成脚本运行（如:aa.asa;1.jpg)
<% response.Write "登录成功"%>

@2: 新建一个文件夹，名字为任意文件名.asp ;
那么在这个文件夹里的内容全部会被当场脚本取运行。

@3:服务器配置错误(put 协议) 抓取请求包,发送到repeater模块 , 修改为PUT协议写入文件

@3:服务器配置错误(put 协议) 利用MOVE协议把上一步的文件tys.txt 移动重命名为 tys.asp, 移动时增加 Destination:http://192.168.3.95/tys.asp 内容为移动后内容

2）IIS解析漏洞
#2 IIS7.0,7.5
正常路径：uploads/1.jpg 把php文件修改后缀为jpg进行上传
黑客思路：uploads/1.jpg/任意文件名.php 访问方式
这个文件就会被当成脚本去执行。
条件是
a. cgi.fix_pathinfo=1
b. 取消仅当请求应设置以下内容时才调用处理程序设置（网站--》双击处理程序映射--》选择phpStudy_FastCGI--》右键编辑--》取消仅当请求应设置以下内容时才调用处理程序设置--》确定--》确定）

3）Nginx解析漏洞(与IIS第二种绕过方式差不多)
#1
正常路径：uploads/1.jpg
黑客思路：uploads/1.jpg/任意文件名.php

3）Nginx解析漏洞
#2 对低版本的Nginx可以在任意文件名后面添加%00.php进行解析攻击。
•Nginx 0. 5. * Nginx 0. 6. *
•Nginx 0. 7 <= 0. 7. 65 Nginx 0. 8 <= 0. 8. 37
正常路径：uploads/1.jpg
黑客思路：uploads/1.jpg%00.php 当做正常脚本执行
#3
• Nginx 0.8. 41 〜1.4. 3 ; 1. 5 <= 1. 5. 7：
•在linux系统里，以上Nginx容器的版本下
正常路径：uploads/1.jpg
黑客思路：uploads/1.jpg%20%00.php 当做正常脚本执行7）利用::$DATA绕过
在php+windows的情况下：如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理,不会检测后缀名.且保持"::$DATA"之前的文件名。
（1）上传正常的php文件，无法上传；
（2）将文件修改为文件名::$DATA
（3）文件，上传成功；

绕过方式:其他方式
某些情况下管理员错误的服务器配置会导致.html ; .xml等静态页面后缀的文件也可被执行。
多文件上传时，有时服务器只对第一个上传的文件进行了检查，这时通过上传多个文件并将
恶意文件掺杂进其中也可绕过服务器的过滤。

文件上传漏洞——绕过文件内容检测

上传文件内容检测：对上传的文件内容做检测,是否是一个符合的文件
1.文件幻数检测 jpg(JFIF) gif(GIF89a) png(%PNG)
2.文件相关信息检测(文件头加一些图片信息中间夹杂攻击代码）
3.文件加载检测(调用API或者函数进行文件加载测试 php的 gd库)

文件幻术检测绕过：
主要是检测文件内容开始处的文件幻数，比如图片类型的文件幻数如下：
要绕过jpg文件幻数检测就要在文件开头写上下图的值：
gif文件：GIF89a
png文件：%PNG

上传文件内容检测：对上传的文件内容做检测,是否是一个符合的文件

绕过方式:图片码绕过(必要时结合文件包含)
把代码文件和图片文件进行二进制编码合并形成新的图片,进行上传.

1）上传正常的php文件，无法上传；
2）将合并的文件进行上传；
3）文件，上传成功；
4) 结合文件包含漏洞实现

不常见的后端检测方式及绕过——图片二次渲染绕过

图片二次渲染：根据上传的图片重新生成一个新图片，内部结构会发送改变。

1）上传正常的php文件，无法上传；
2）将合并的图片码进行上传；
3）上传成功，但是图片中嵌入的代码消失；

4) 使用十六进制查看器分析上传前和上传后两张图片未被改变的部分。

5) 以十六方式方式写入代码，保存图片再次上传。

6) 结合文件包含漏洞实现

不常见的后端检测方式及绕过——条件竞争绕过

例如：当后端处理文件的时候是先进行保存上传的文件，然后再判断文件的后缀是否符合规定，不符合则删除。

条件竞争绕过：在文件删除前进行执行文件产生一个新文件。

实现方式：当我发送大量的包时，文件就会先进行保存，而判断可能会存在一定的延迟，此时上传一个php文件里面代码在创建一个包含一句话的php这样就算把上传的文件删除也会存在一个木马文件

1. 上传1.php，抓包，添加参数a=1，发送到intrude模块进行多线程，发送大量数据包