经验首页 前端设计 程序设计 Java相关 移动开发 数据库/运维 软件/图像 大数据/云计算 其他经验
当前位置:技术经验 » 其他 » 网络安全 » 查看文章
文件上传解析漏洞
来源:cnblogs  作者:王宇阳  时间:2019/10/29 10:24:49  对本文有异议

上传漏洞

Mirror王宇阳

2019年10月28日

Web网站通常存在文件上传(例如:图片、文档、zip压缩文件^等)只要存在上传功能,就有可能会有上传漏洞的危机。和SQL注入漏洞相比较而言,上传漏洞更加危险,因为该漏洞可以直接上传一个WebShell到服务器上。

解析漏洞

利用上传漏洞,通常需要结合Web容器(IIS、Nginx、Apache、Tomcat)的解析漏洞来让上传的漏洞得到实现

IIS解析漏洞

IIS5.x/IIS 6.0文件解析漏洞

  • 目录名中含有.asp字符串的(目录下)均按照asp文件进行解析;例如:index.asp/目录中的所有文件都会asp解析

    当出现xx.asp命名的文件名,访问目录下任意一个文件,均会送给asp.dll解析(执行asp脚本)

  • 文件名中含有.asp;字符,即使时jpg格式文件,IIS也会按照asp对文件进行解析

    当文件名xx.asp;xx.jpg,IIS6会将文件送给asp.dll解析(按照asp脚本解析);

    请求时:IIS从左往右检查.号,查询到;/号则(内存)截断;如此执行后,IIS认识的就是xx.asp

  • 默认解析:.asa .cer .cdx IIS6 同时默认解析前面三个文件后缀,都会给asp.dll解析

  • 修复方案:

    设置权限,限制用户创建、修改文件夹权限

    更新微软的补丁或者自定义修改IIS的检测规则,阻止上传非法的文件名后缀

IIS7.0/7.5

  • 默认开启 Fast-CGI 状态,在一个服务器文件URL地址后面添加xx.php会将xx.jpg/xx.php解析为PHP文件

  • 修复方法:

    修改php.ini文件,将cgi.fi: x_pathinfo设置为 0

    IIS7的解析漏洞主要是由于PHP的配置不当导致的

    Windows操作系统中,文件名不能以空格或“.”开头,也不能以空格或“.”结尾。当把一个文件命名为以空格或“.”开头或结尾时,会自动地去掉开头和结尾处的空格和“.”。利用此特性,也可能造成“文件解析漏洞”。

Nginx解析漏洞

Nginx <= 0.8.37

影响版本:0.5/0.6/<0.7.65/<0.8.37

  • Fast-CGI开启状态下,存在如同IIS7一样的漏洞:URL地址后面添加xx.php会将xx.jpg/xx.php解析为PHP文件

    空字节:xx.jpg%00.php (部分版本中,Fast-CGI关闭下也会被执行)

  • 修复方法:

    修改php.ini文件,将cgi.fix_pathinfo设置为 0 [关闭]

    再Nginx配置中设置:当类似xx.jpg/xx.php的URL访问时候,返回403;

    1. if ( $fastcgi_script_name ~ ..*/.*php) {
    2. return 403 ;
    3. }

Apache解析漏洞

Apache后缀名解析漏洞

  • Apache解析文件的规则时从右到左开始判断,如果后缀名为不可识别文件解析,则会继续向左判断,直至可以正确识别

    xxx.php.owf.zip 其中.owf.zip文件后缀Apache不识别,直至判断.php才会按照PHP解析文件

  • 修复方法:

    Apache配置中,禁止xx.php.xxx类似的文件执行

    1. <Files ~ "/.(php.|php3.)">
    2. Order Allow,Deny
    3. Deny from all
    4. </Files>

Apache"%0A"绕过上传黑名单 [CVE-2017-15715]

  • Apache中存在一个上传的判断逻辑:(自定义)

    1. <?php
    2. if(isset($_FILES['file'])){
    3. $name = basename($_POST['name']);
    4. $ext = pathinfo($name,PATHINFO_EXTNSION);
    5. if(in_array($ext,['php','php3','php4','php5','phtml','pht'])){
    6. exit("bad file");
    7. }
    8. move_uploaded_file($_FILES['file']['tmp_name'],'./'.$name);
    9. }
    10. ?>

    判断检查上传文件的后缀名,如果发现了,就进行拦截。

    利用CVE-2017-15715,上传一个包含换行符的文件。注意,只能是\x0A,不能是\x0D\x0A,所以我们用hex功能在1.php后面添加一个\x0A

15223122857686.jpg

? 访问/1.php%0A,即课成功getShell;

文件上传绕过

客户端校验

  • 客户端使用JavaScript检查上传文件的后缀名

    1. # js验证文件后缀
    2. extArray = new Array('.gif','.jpg','.png'); // 白名单
    3. function LimitAttach(form,file){
    4. allowSubmit = false;
    5. if(!file)
    6. return;
    7. while(file.indexOf('\\')!=-1)
    8. file = file.slice(file.indexOf('\\')+1);
    9. ext = file.slice(file.indexOf('.')).toLowerCase();
    10. for(var i = 0 ; i < extArray.length ; i++){
    11. if(extArray[i] == ext){
    12. allowSubmit = true ;
    13. break ;
    14. }
    15. }
    16. if(allowSubmit)
    17. form.submit();
    18. else
    19. alert("bad Extension");
    20. }

    一般情况可以通过抓包绕过客户端的 js校验

    1. # php接收文件(没有任何校验)
    2. <?php
    3. if(isset($_POST['submit'])){
    4. $name = $_FILES['file']['name']; //文件名
    5. $naem = md5(date('Y-m-d h:m:s')).strrchr($name,'.');// 文件重命名保留扩展
    6. $size = $_FILES['file']['size']; //文件字节大小
    7. $tmp = $_FILES['file']['tmp_name']; //临时路径
    8. move_uploaded_file($tmp,$name); //移动文件到tmp目录下
    9. echo '文件上传成功'.$name;
    10. }
    11. ?>
  • 绕过客户端校验:

    使用FireBug开发者工具,在本地构造一个可以越过触发校验函数即可提交表单的内容;让校验函数不被调用即可绕过。

    另外也可以通过抓包方式在通过客户端校验后修改数据包的内容。(改包过程中可能会改动数据包的大小,需要留意Content-Length定义的长度要与实际相符)

服务端校验

  • Content-type字段校验(MIME类型校验
  • 文件扩展名检测(检测文件Extension相关的内容)采用黑白名单过滤的机制
  • 文件内容体检测(检测内容是否合法或者恶意代码)

  • 目录验证

MIME校验:Content-type

  • Content-type字段显示文件的MIME类型,判断MIME类型可以对文件做简单的过滤

    1. # 校验Content-type字段MIME类型
    2. <?php
    3. if($_FILES['file']['type'] != 'image/jpeg'){ // 判断文件的MIME格式
    4. echo "Sorry!文件上传格式错误 Error";
    5. exit;
    6. }
    7. ?>
  • 绕过MIME校验:

    利用Burp抓包工具,将content-type字段改为需要的MIME类型

扩展名检测

  • 黑名单策略:

    存在一个专门的文件,记录服务器不允许上传的文件名

  • 白名单策略:

    存在一个专门的文件,记录服务器允许上传的文件名

    1. # 扩展名检测
    2. <?php
    3. if(isset($_POST['submit'])){
    4. $name = $_FILES['file']['name']; // 获取文件名
    5. $ext = substr(strrchr($name,"."),1); //获取扩展名[strrchr()找到符号"."并返回从该位置到结尾的所有字符(字符串),substr(str,1)获得扩展名字符串]
    6. while($ext==xxx){}
    7. // 调用黑白名单进行循环对比,一旦命中则执行相关的放过/拦截操作!
    8. }
    9. ?>

目录验证

  • 让上传的文件存储在一个统一的目录

    1. # 目录验证
    2. <?php
    3. if(isset($_POST['submit'])){
    4. $name = $_FILES['file']['name']; //文件名
    5. $naem = date('Y-m-d h:m:s').strrchr($name,'.');// 文件重命名保留扩展
    6. $tmp = "./root/"; //存储路径,可以是服务器指定或者用户原则或则机制选择
    7. move_uploaded_file($tmp,$name); //移动文件到tmp目录下
    8. }
    9. ?>

服务器校验文件实例代码

  1. <?php
  2. if(isset($_POST['submit'])){
  3. $name = $_FILES['file']['name'] ;
  4. $type = $_FILES['file']['type'] ;
  5. $tmp = "./image/";
  6. }
  7. file_array = new array('jpeg','png','jpg','gif');// 白名单
  8. for ($i=0; $i < file_array.length; $i++) {
  9. if (substr(strrchr($name, "."),1) == file_array[i]) {
  10. if( $type == "image/gif" | $type == "image/jpeg" ){
  11. move_uploaded_file($tmp, $name);
  12. echo "图片上传成功……".$name;
  13. exit;
  14. }
  15. }
  16. }
  17. ?>

绕过策略

  • burp抓包改包,绕过校验机制,再利用包含漏洞进行getShell

文本编辑器上传漏洞

常见文本编辑器:FCKEditor、Ewebeditor、UEditor、KindEditor、XHditor;合俗称“富文本编辑器

笔者接触文本编辑器不多,贡献一个不错的参考文章: https://blog.yuntest.org/jszy/stcs/91.html

原文链接:http://www.cnblogs.com/wangyuyang1016/p/11754418.html

 友情链接:直通硅谷  点职佳  北美留学生论坛

本站QQ群:前端 618073944 | Java 606181507 | Python 626812652 | C/C++ 612253063 | 微信 634508462 | 苹果 692586424 | C#/.net 182808419 | PHP 305140648 | 运维 608723728

W3xue 的所有内容仅供测试,对任何法律问题及风险不承担任何责任。通过使用本站内容随之而来的风险与本站无关。
关于我们  |  意见建议  |  捐助我们  |  报错有奖  |  广告合作、友情链接(目前9元/月)请联系QQ:27243702 沸活量
皖ICP备17017327号-2 皖公网安备34020702000426号