文件上传
概述
由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。如常见的头像上传,图片上传,oa 办公文件上传,媒体上传,允许用户上传文件,如果过滤不严格,恶意用户利用文件上传漏洞,上传有害的可以执行脚本文件到服务器中,可以获取服务器的权限,或进一步危害服务器。
危害
非法用户可以上传的恶意文件控制整个网站,甚至是控制服务器,这个恶意脚本文件,又被称为 webshell,上传 webshell 后门 很方便地查看服务器信息,查看目录,执行系统命令等。
文件上传相关知识
文件上传过程
客户端 选择发送的文件->服务器接收->网站程序判断->临时文件->移动到指定的路径
服务器 接收的资源程序
服务器接收资源代码
<?php
if ($_FILES["file"]["error"] > 0)
{
echo "Error: " . $_FILES["file"]["error"] . "<br />";
}
else
{
echo "Upload: " . $_FILES["file"]["name"] . "<br />";
echo "Type: " . $_FILES["file"]["type"] . "<br />";
echo "Size: " . ($_FILES["file"]["size"] / 1024) . " Kb<br />";
echo "Stored in: " . $_FILES["file"]["tmp_name"];
}
?><html>
<head></head>
<body>
<form action="upload.php" method="post" enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="file" id="file" />
<br />
<input type="submit" name="submit" value="Submit" />
</form>
</body>
</html>文件上传代码
文件上传时会返回一些代码 返回客户端 客户端根据这些值判断上传是否正常
值:0; 没有错误发生,文件上传成功。
值:1; 上传的文件超过了 php.ini 中 upload_max_filesize 选项限制的值。
值:2; 上传文件的大小超过了 HTML 表单中 MAX_FILE_SIZE 选项指定的值。
值:3; 文件只有部分被上传。
值:4; 没有文件被上传。
文件上传漏洞类型
直接文件上传,这种类型属于高危漏洞的一种,能直接getshell,而且没有任何限制,攻击者很容易通过上传点获取网站的控制权限,
有条件的上传漏洞,这种漏洞一般是开发者经验不足,对文件上传作了简单限制,可以被绕过,另一方面啥权限认证没处理,没有对文件上传页面进行权限人活着那个,匿名者能访问上传文件,上传网页后门到网站目录控制整个网站,还有一些上传逻辑有问题,导致文件上传可以被绕过,上传后门到网站上,有的文件上传漏洞则是通过中间件或者系统特性上传可以被服务器解析脚本文件,从而导致网站可被控制
修复方案
在网站中需要存在上传模块,需要做好权限认证,不能让匿名用户可访问。
文件上传目录设置为禁止脚本文件执行。这样设置即使被上传后门的动态脚本也不能解析,导致攻击者放弃这个攻击途径。
设置上传白名单,白名单只允许图片上传如,jpg png gif 其他文件均不允许上传
上传的后缀名,一定要设置成图片格式如 jpg png gif
常见的网站文件后缀名
可执行脚本的文件后缀名,可被网站目录解析。以下是常见的后缀名
asp
asa
cdx
cer
php
aspx
ashx
jsp
php3
php.a
shtml
phtml有些网站会对 asp 或者 php 进行过滤转成空可用这些后缀名。
aspasp asaspp
phpphp
任意文件上传漏洞
又叫文件直接上传漏洞,这种漏洞危害极大,如果攻击者能直接上传恶意脚本到网站存放的目录,且这个目录可解析动态脚本语言,那么攻击者就能够直接获取网站权限,甚至进一步权限提升,控制服务器
任意文件上传代码分析
直接上传文件 网页会返回路径 访问 url 即可 getshell
上传的文件可以改成其他恶意脚本或者后门,如中国菜刀一句话,后门大马。即
可获得 webshell
绕过前端js检测上传
在文件上传时,用户选择文件时,或者提交时,有些网站会对前端文件名进行验证,一般检测后缀名,是否为上传的格式。如果上传的格式不对,则弹出提示文字。此时数据包并没有提交到服务器,只是在客户端通过 js 文件进行校验,验证不通过则不会提交到服务器进行处理。
绕过js检测方法
按 F12 使用网页审计元素,把校验的上传文件后缀名文件删除,即可上传。
把恶意文件改成 js 允许上传的文件后缀,如 jpg、gif、png 等,再通过抓包工具抓取 post 的数据包,把后缀名改成可执行的脚本后缀如 php 、asp、jsp、net 等。即可绕过上传。
删除 js 文件
前端js检测后缀代码分析
客户段 html 上传文件时会调用 checkFile 函数,首先获取文件后缀名。如果文件为空,则弹出“请选择要上传的文件”,如果文件不为空,获取上传的文件后缀名不 .jpg、.png 、.gif 其中一种则提示“改文件不允许上传”,上传失败。
绕过contnet-type检测上传
有些上传模块,会对 http 的类型头进行检测,如果是图片类型,允许上传文件到服 务 器 , 否 则 返 回 上 传 失 败 。 因 为 服 务 端 是 通 过 content-type 判 断 类 型 ,content-type 在客户端可被修改。则此文件上传也有可能被绕过的风险。
分析content-type漏洞代码
首先进行 submit 提交判断,再检测文件类型如果是 image/jpeg 或者 image/png即允许上传。
content-type检测上传攻击
上传文件,脚本文件,抓包把 content-type 修改成 image/jpeg 即可绕过上传。
https://www.runoob.com/http/http-content-type.html
修改后 Content-Type: image/jpeg
绕过黑名单上传
上传模块,有时候会写成黑名单限制,在上传文件的时获取后缀名,再把后缀名与程序中黑名单进行检测,如果后缀名在黑名单的列表内,文件将禁止文件上传。
黑名单代码分析
首先是检测 submit 是否有值,获取文件的后缀名,进行黑名单对比,后缀名不在黑名单内,允许上传。
绕过黑名单上传的攻击
上传图片时,如果提示不允许 php、asp 这种信息提示,可判断为黑名单限制,上传黑名单以外的后缀名即可。
在 iis 里 asp 禁止上传了,可以上传 asa cer cdx 这些后缀,如在网站里允许.net执行 可以上传 ashx 代替 aspx。如果网站可以执行这些脚本,通过上传后门即可获取 webshell。
在不同的中间件中有特殊的情况,如果在 apache 可以开启 application/x-httpd-php
在 AddType application/x-httpd-php .php .phtml .php3后缀名为 phtml 、php3 均被解析成 php 有的 apache 版本默认就会开启。上传目标中间件可支持的环境的语言脚本即可,如.phtml、php3。
htaccess重写解析绕过上传
上传模块,黑名单过滤了所有的能执行的后缀名,如果允许上传.htaccess。htaccess文件的作用是 可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定 IP 地址的用户、只允许特定 IP 地址的用户、禁止目录列表,以及使用其他文件作为 index 文件等一些功能。在 htaccess 里写入 SetHandler application/x-httpd-php 则可以文件重写成 php 文件。要 htaccess 的规则生效 则需要在 apache 开启 rewrite 重写模块,因为 apache是多数都开启这个模块,所以规则一般都生效。
黑名单上传代码分析
如果 submit 有值,$deny_ext =
array(".php",".php5",".php4",".php3",".php2","php1",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2","pHp1",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf");
上传的文件后缀名在列表内禁止上传。包括了所有的执行脚本。
htaccess重写解析攻击
上传.htaccess 到网站里.htaccess 内容是
<FilesMatch "jpg">
SetHandler application/x-httpd-php
再上传恶意的 jpg 到.htaccess 相同目录里,访问图片即可获取执行脚本。
重点 fck 编辑器
大小写绕过上传
有的上传模块 后缀名采用黑名单判断,但是没有对后缀名的大小写进行严格判断,导致可以更改后缀大小写可以被绕过。如 PHP、 Php、 phP、pHp
黑名单大小写绕过代码分析
获取文件后缀名进行判断,如果后缀在这个字典里就禁止上传。
$deny_ext =
array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
黑名单大小写绕过攻击
仔细阅读黑名单,查看是否有被忽略的后缀名,当前可以使用 phP 绕过
空格绕过上传
在上传模块里,采用黑名单上传,如果没有对空格进行去掉可能被绕过
空格绕过上传代码分析
检测 submit 后 上传目录存在时,进入黑名单判断。如果文件后缀名在黑名单里。不允许上传,但是文件后缀名,没有过滤空格,可以添加空格绕过。
空格绕过上传攻击
抓包上传,在后缀名后添加空格
利用windows系统特征绕过上传
在 windows 中文件后缀名. 系统会自动忽略.所以 shell.php. 像 shell.php 的效果一样。所以可以在文件名后面机上.绕过
Windows系统特征绕过漏洞代码分析
同样是黑名单禁止上传,但是可以上传.php.这种文件后缀。
windows系统特征绕过攻击
抓包修改在后缀名后加上.即可绕过。
NTFS交换数据流::$DATA绕过上传
如果后缀名没有对::$DATA 进行判断,利用 windows 系统 NTFS 特征可以绕过上传。
NTFS交换数据流::$DATA代码分析
$deny_ext =array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
同 样 用 黑 名 单 过 滤 后 缀 名 。 但 是 程 序 中 没 有 对 ::$DATA 进 行 过 滤 可 以 添加::$DATA 绕过上传。
NTFS交换数据流::$DATA攻击绕过上传
burpsuite 抓包,修改后缀名为 php::$DATA
利用windows环境的叠加特征绕过上传
在 windwos 中如果上传文件名 moonsec.php:.jpg 的时候,会在目录下生产空白的
文件名 moonsec.php
再利用 php 和 windows 环境的叠加属性,
以下符号在正则匹配时相等
双引号" 等于 点号.
大于符号> 等于 问号?
小于符号< 等于 星号*
文件名.<或文件名.<<<或文件名.>>>或文件名.>><空文件名
黑名单代码分析
同样是黑名单匹配,把.去掉 把空格也过滤了。::$data 也过滤了
利用windows环境的叠加特征绕过上传攻击
首先抓包上传 a.php:.php 上传会在目录里生成 a.php 空白文件,接着再次提交把a.php 改成 a.>>>
双写后缀名绕过上传
在上传模块,有的代码会把黑名单的后缀名替换成空,例如 a.php 会把 php 替换成空,但是可以使用双写绕过例如 asaspp,pphphp,即可绕过上传。
文件上传双写绕过漏洞分析
同样是黑名单过滤。str_ireplace 对上传的后缀名是黑名单内的字符串转换成空。
文件上传双写绕过攻击
抓包上传,把后缀名改成 pphphp 即可绕过上传
目录可控%00 截断绕过上传
以上都是一些黑名单被绕过的,如果黑名单上传检测后,没有限定后缀名,绕过的方法很多,与黑名单相对的就是白名单,使用白名单验证会相对比较安全,因为只允许指定的文件后缀名。但是如果有可控的参数目录,也存在被绕过的风险。
上传参数目录可控代码分析
代码中使用白名单限制上传的文件后缀名,只允许指定的图片格式。但是$_GET[‘save_path’]服务器接受客户端的值,这个值可被客户端修改。所以会留下安全问题。
文件上传参数目录可控攻击
上传参数可控
当 gpc 关闭的情况下,可以用%00 对目录或者文件名进行截断。 php 版本小于 5.3.4
首先截断攻击,抓包上传将%00 自动截断后门内容。
例如 1.php%00.1.jpg 变成 1.php
目录可控 POST 绕过上传
上面是 GET 请求的,可以直接在 url 输入%00 即可截断,但是在 post 下直接注入%00 是不行的,需要把%00 解码变成空白符,截断才有效。才能把目录截断成文件名
目录可控 post 上传代码分析
这段代码同样是白名单限制后缀名,$_POST[‘save_path’]是接收客户端提交的值,
客户端可任意修改。所以会产生安全漏洞。
目录可控上传攻击
文件名可控,通过抓包修改可控的参数,与不同的中间件的缺陷配合使用。
使用%00 截断文件名 再 post 环境下%00 要经过 decode 但是受 gpc 限制
使用 burpsutie POST %00 截断文件名
如果目录当前目录不能解析脚本,可以移动到其他目录再进行截断提交。
文件头检测绕过上传
有的文件上传,上传时候会检测头文件,不同的文件,头文件也不尽相同。常见
的文件上传图片头检测 它检测图片是两个字节的长度,如果不是图片的格式,
会禁止上传。
常见的文件头
JPEG (jpg),文件头:FFD8FF
PNG (png),文件头:89504E47
GIF (gif),文件头:47494638
TIFF (tif),文件头:49492A00
Windows Bitmap (bmp),文件头:424D
文件头检测上传代码分析
这个是存在文件头检测的上传,getReailFileType 是检测 jpg、png、gif 的文件头
如果上传的文件符合数字即可通过检测。
文件头检测绕过传攻击方法
1.制作图片一句话,使用 copy 1.gif/b+moon.php shell.php 将 php 文件附加再 jpg图片上,直接上传即可。
因为限制了后缀为 jpg,可以考虑文件包含将图片文件包含进去 getshell
burpsuite 上传的数据包头加上 GIF89a
图片检测函数绕过上传
查看代码
getimagesize 是获取图片的大小,如果头文件不是图片会报错直接可以用图片马绕过检测
再用文件包含漏洞引入 jpeg 图片即可 getshell
绕过图片二次渲染上传
有些图片上传,会对上传的图片进行二次渲染后在保存,体积可能会更小,图片会模糊一些,但是符合网站的需求。例如新闻图片封面等可能需要二次渲染,因为原图片占用的体积更大。访问的人数太多时候会占用,很大带宽。二次渲染后的图片内容会减少,如果里面包含后门代码,可能会被省略。导致上传的图片马,恶意代码被清除。
图片二次渲染分析代码
只允许上传 JPG PNG gif 在源码中使用 imagecreatefromgif 函数对图片进行二次生成。生成的图片保存在,upload 目录下。
绕过图片二次渲染攻击
首先判断图片是否允许上传 gif,gif 图片在二次渲染后,与原图片差别不会太大。
所以二次渲染攻击最好用 git 图片马。
制作图片马
将原图片上传,下载渲染后的图片进行对比,找相同处,覆盖字符串,填写一句
话后门,或者恶意指令。
原图片与渲染后的图片这个位置的字符串没有改变所在原图片这里替换成<?
php phpinfo();?>直接上传即可。
文件上传条件竞争漏洞绕过
在 文 件 上 传 时 , 如 果 逻 辑 不 对 , 会 造 成 很 大 危 害 , 例 如 文 件 上 传 时 , 用move_uploaded_file 把上传的临时文件移动到指定目录,接着再用 rename 文件设置为图片格式,如果在 rename 之前 move_uploaded_file 这个步骤 如果这个文件可被客户端访问,这样我们也可以获取一个 webshell。
文件上传条件竞争源码分析
采用白名单上传,$upload_file = UPLOAD_PATH . ‘/’ . $file_name; 设置上传路径,后缀名没有限定为图片类型,接着 move_uploaded_file($temp_file, $upload_file)将图片移动指定的目录,接着使用 rename 重名为图片类型。在重名之前如果被浏览器访问,可以得到一个 webshell
文件上传条件竞争攻击方法
上传 php 后门脚本,上传之后用 burpsutie 设置访问,线程建议体提高一些。抓包上传 php 文件 设置变量不停的提交这包
需要知道 php 的访问路径,抓包 不停的提交访问。首先提交访问上传后的 php 路径 第二提交上传的文件的数据包即可
可以看到页面返回 200 证明上传成功
文件名可控绕过上传
文件上传时,文件名的可被客户端修改控制,会导致漏洞产生。
文件名控代码分析
采用黑名单限制上传文件,但是 $_POST[‘save_name’]文件是可控的,可被客户端任意修改,造成安全漏洞.
文件名控可控攻击方法
文件名攻击的方法主要有两种
1.上 传 文 件 , 文 件 吗 采 用 %00 截 断 , 抓 包 解 码 例 如 moon.php%00.php 截 断 后moon.php 或者使用/.
2.与中间的漏洞配合使用 例如 iis6.0 上传 1.php;1.jpg apache 上传 1.php.a 也
能解析文件 a.asp;1.jpg 解析成 asp
%00 截断 需要 gpc 关闭 抓包 解码 提交即可 截断文件名 php 版本小于 5.3.4
将文件名 1.php;.jpg 改成 iis6.0 可解析文件 也可以使用 /.
数组绕过上传
有的文件上传,如果支持数组上传或者数组命名。如果逻辑写的有问题会造成安全隐患,导致不可预期的上传。这种上传攻击,它是属于攻击者白盒审计后发现的漏洞居多。
数组绕过代码分析
首先检测文件类型,看到可控参数 save_name 如果不是数组如果后缀名不是图
片禁止上传。
如果是数组绕过图片类型检测 接着处理数组。
首先 一个例子的处理。
<?php
$file= $_GET['save_name'];
echo $file_name = reset($file) . '.' . $file[count($file) - 1];
?>如果是两个参数 拼接字符串是 xx.php/.png
数组绕过攻击方法
构造上传表单,设置数组上传。从代码中,可以知道第二个数组必须大于 1 即可第 二 个 数 组 的 值 就 获 取 不 了 , 字 符 串 拼 接 起 来 就 是 moon.php/. 就 能上 传moon.php
文件上传其他漏洞
文件上传其他漏洞nginx 0.83 /1.jpg%00php
apahce 1x 或者 2x当 apache 遇见不认识的后缀名,会从后向前解析例如 1.php.rar 不认识 rar 就向前解析,直到知道它认识的后缀名。
phpcgi 漏洞(nginx iis7 或者以上) 上传图片后 1.jpg。访问 1.jpg/1.php 也会解析成php。
Apache HTTPD 换行解析漏洞(CVE-2017-15715)
apache 通过 mod_php 来运行脚本,其 2.4.0-2.4.29 中存在 apache 换行解析漏洞,
在解析 php 时 xxx.phpx0A 将被按照 PHP 后缀进行解析,导致绕过一些服务器的
安全策略。
文件上传漏洞通用检测方法
判断是否为黑白名单,如果是白名单 寻找可控参数。如果是黑名单禁止上传,
可以用有危害的后缀名批量提交测试,寻找遗留的执行脚本。
.php
.php5
.php4
.php3
.php2
.html
.htm
.phtml
.pht
.pHp
.phP
.pHp5
.pHp4
.pHp3
.pHp2
.Html
.Htm
.pHtml
.jsp
.jspa
.jspx
.jsw
.jsv
.jspf
.jtml
.jSp
.jSpx
.jSpa
.jSw
.jSv
.jSpf
.jHtml
.asp
.aspx
.asa
.asax
.ascx
.ashx
.asmx
.cer
.aSp
.aSpx
.aSa
.aSax
.aScx
.aShx
.aSmx
.cEr
.sWf
.swf
.htaccess使用 burpsuite 抓包上传将后缀名设置成变量,把这些文件设置成一个字典批量
查看数据包大小 查看确定时候可上传即可
文件上传的防御方法
服务器端使用白名单防御,修复 web 中间件的漏洞,禁止客户端存在可控参数,存放文件目录禁止脚本执行,限制后缀名 一定要设置图片格式 jpg、gif 、png 文件名随机的,不可预测
文件上传的攻击方法
更新: 2025-05-03 19:56:48
原文: https://www.yuque.com/yuhui.net/network/awtbxlnblhgrzpro
评论(0)
暂无评论