文件上传漏洞

文件上传漏洞靶场：upload-labs

https://github.com/c0ny1/upload-labs/releases

文件上传简介

什么是文件上传

将客户端数据以文件形式封装，通过网络协议发送到服务器端。在服务器端解析数据，最终在服务端硬盘上作为真实的文件保存。通常一个文件以HTTP协议进行上传时，将以POST请求发送至Web服务器，Web服务器收到请求并同意后，用户与Web服务器将建立连接，并传输数据。

什么是文件上传漏洞

文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的，"文件上传"本身没有问题，有问题的是文件上传后，服务器怎么处理、解释文件。如果服务器端脚本语言未对上传的文件进行严格的验证和过滤，就容易造成上传任意文件的情况。

通常web站点会有用户注册功能，而当用户登录之后大多数情况下会存在类似头像上传、附件上传之类的功能，这些功能点往往存在上传验证方式不严格的安全缺陷，导致攻击者通过各种手段绕过验证，上传非法文件，这是在web渗透中非常关键的突破口。

文件上传产生漏洞的原因

1. 服务器配置不当

2. 文件上传限制被绕过

3. 开源编辑器的上传漏洞

4. 文件解析漏洞导致文件执行

5. 过滤不严或被绕过

文件上传检测方式

一般一个文件上传过程中的检测方式有：

客户端JavaScript检测（检测文件扩展名）

服务端MIME类型检测（检测content-type内容）

服务端目录路径检测（检测跟path参数相关的内容）

服务端文件扩展名检测 (检测跟文件extension相关的内容)

服务端文件内容检测（检测内容是否合法是否含有恶意代码）

文件上传漏洞危害

攻击者通过上传恶意文件传递给解释器去执行，然后就可以在服务器上执行恶意代码，进行数据库执行、服务器文件管理、命令执行等恶意操作。从而控制整个网站及服务器。这个恶意的文件（php、asp、aspx、jsp等），又被称WebShell。

Webshell简介

WebShell就是以ASP、PHP、JSP或者CGI等网页文件形式存在的一种命令执行环境，也可以将其称之为一种网页后门。攻击者在入侵了一个网站后，通常会将这些asp或php后门文件与网站服务器web目录下正常的网页文件混在一起，然后使用浏览器来访问这些后门，得到一个命令执行环境，以达到控制网站服务器的目的（可以上传下载或者修改文件，操作数据库，执行任意命令等）。

常用一句话Webshell

php一句话木马：

asp一句话木马： <%eval request("value")%>

aspx一句话木马： <%@ Page Language="Jscript"%><%eval(Request.Item["value"])%>
制作一句话图片马： copy 1.jpg/b+1.php/a 2.jpg

Webshell原理

以一个原始而又简单的php一句话木马为例：

<?php
    @eval($_POST['cmd']);
?>

php的代码要写在里面，服务器才能认出来这是php代码，然后才去解析。
@ 符号的意思是不报错,因为变量没有定义而被使用，服务器会提醒XXX变量未定义。
$_POST['cmd'];
php里面有几个超全局变量， $_GET、$_POST 就是其中之一，意思是用 post 的方法接收变量
cmd传递来的字符。
eval() 把字符串作为PHP代码执行

绕过kehudua（绕过JS检测)

原理：通常在上传页面里含有专门检测文件上传的 JavaScript 代码，最常见的就是检测文件类型和扩展名是否合法。

方法：在本地浏览器客户端禁用 JS 即可；可使用火狐浏览器的 Noscript 插件、IE中禁用JS等方式实现，利用 burpsuite 可以绕过一切客户端检测。

绕过服务端检测

服务端的代码通常检测三个点：MIME类型、文件内容、文件后缀

绕过MIME类型检测

常见MIME类型

超文本标记语言文本 .html text/html

2. 普通文本 .txt text/plain

3. PDF文档 .pdf application/pdf

4. Microsoft Word文件 .word application/msword

5. PNG图像 .png image/png

6. GIF图形 .gif image/gif

7. JPEG图形 .jpeg,.jpg image/jpeg

8. au声音文件 .au audio/basic

9. MPEG文件 .mpg,.mpeg video/mpeg

10. AVI文件 .avi video/x-msvideo

11. GZIP文件 .gz application/x-gzip

原理：检测图片类型文件上传过程中http包的 Content-Type 字段的值，来判断上传文件是否合法。

方法：用burpsuite截取并修改数据包中文件的 content-type 类型进行绕过。

绕过文件后缀检测

黑名单策略：文件扩展名在黑名单中为不合法，一般有个专门的黑名单列表，里面会包含常见的危险脚本文件。

1. 后缀大小写绕过：(.Php)

在对后缀的判断中，如果只是对字符串进行单独的比较来判断是不是限制文件，可以采用后缀名大小写绕过形式。

2. 空格绕过：(.p h p)

如果黑名单没有对后缀名进行去空处理，可以通过在后缀名后加空进行绕过。

3. 点绕过：(.php.)

如果黑名单没有对后缀名进行去.处理，利用Windows系统的文件名特性，会自动去掉后缀名最后的.，通过在文件名后加.进行绕过。

4. ::$DATA 绕过：

如果黑名单没有对后缀名进行去::$DATA处理，利用Windows下NTFS文件系统的一个特性，可以在后缀名后加::$DATA，绕过对黑名单的检测。

5. 配合Apache解析漏洞：

Apache解析有一个特点，解析文件时是从右往左判断，如果为不可识别解析再往左判断，如aa.php.owf.rar文件，Apache不可识别解析‘.owf’和‘.rar’这两种后缀，会解析成.php文件。

白名单策略：文件扩展名不在白名单中为不合法。

绕过方法：服务端判断文件类型是从后往前判断，而对文件解析是从前往后解析，可以利用00截断的方式进行绕过，包括%00截断与0x00截断。

php小于5.3.29

%00截断：

url发送到服务器后被服务器解码，这时还没有传到验证函数，也就是说验证函数里接收到的不是%00字符，而

是%00解码后的内容，即解码成了0x00。

0x00截断：

系统在对文件名进行读取时，如果遇到0x00，就会认为读取已经结束。但要注意是文件的十六进制内容里的

00，而不是文件名中的00。

绕过文件内容检测

一般通过检测文件内容来判断上传文件是否合法。

文件幻数检测

主要是检测文件内容开始处的文件幻数

文件格式幻数（外语：magic number），它可以用来标记文件或者协议的格式，很多文件都有幻数标志来表明该文件的格式。

常见图片类型的文件幻数如下：

要绕过 jpg 文件幻数检测就要在文件开头写上下面的值：

Value = FF D8 FF E0 00 10 4A 46 49 46

要绕过 gif 文件幻数检测就要在文件开头写上下面的值：

Value = 47 49 46 38 39 61

要绕过 png 文件幻数检测就要在文件开头写上下面的值：

Value = 89 50 4E 47

然后在文件幻数后面加上自己的一句话木马代码就行了。

文件加载检测

一般是调用API 或函数去进行文件加载测试，我们常见的是图像渲染测试，严格的进行二次渲染。

对渲染/加载测试攻击 - 代码注入绕过

可以用图像处理软件对一张图片进行代码注入

原理：在不破坏文件本身的渲染情况下找一个空白区进行填充代码，一般是图片的注释区，这样能保证本身文件结构是完整的，对于渲染测试基本上都能绕过。

二次渲染的攻击方式 - 攻击文件加载器自身

这种情况下无法用代码注入绕过，二次渲染相当于吧原本属于图像数据的部分抓出来，在用自己的API或函数进行重新渲染，而非图像数据部分直接被隔离开了。我们可以用溢出攻击对文件加载器进行攻击，上传自己的恶意文件后，服务器上的文件加载器会主动进行加载测试，加载测试时被溢出攻击执行shellcode。