通过数据可以显示,文件上传漏洞,对网站的负面影响还是很大的,那么究竟\公众什么是文件上传漏洞?技能事理是什么?如何戒备该漏洞?

本日

由于程序员在对用户文件上传部分的掌握不敷或者处理毛病,而导致的用户可以超越其本身权限向做事器上上传可实行的动态脚本文件。
这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。
这种攻击办法是最为直接和有效的,\"大众文件上传\公众本身没有问题,有问题的是文件上传后,做事器怎么处理、阐明文件。
如果做事器的处理逻辑做的不足安全,则会导致严重的后果。

二、 文件上传后导致的安全问题

上传的文件是web脚本措辞,做事器的web容器阐明并实行了文件上传的web脚本,导致了代码的实行。

文件上传漏洞jsp文件上传破绽的成因进击道理实现方法防御策略等技巧详解 GraphQL

上传文件是flash的策略文件,黑客可以通过掌握flash在该域下的行为,来进行其他攻击。
上传文件是病毒,木马文件,那攻击者可以诱使文件中其他的职员下载实行。

文件上传也有可能是钓鱼图片,或者包含了脚本文件的图片,在某些版本的浏览器中,这些脚本文件会被实行,可以用来做钓鱼攻击。

除此以外,还有一些不常见的利用方法,比如将一个文件作为一个入口,溢出做事器的后台处理程序,如图片解析模块,或者上传一个合法的文件,其内容包含了php的代码,再通过文件包含,来实行这个脚本。

三、造成文件上传漏洞的缘故原由

(1)对付上传文件的后缀名(扩展名)没有做较为严格的限定

(2)对付上传文件的MIMETYPE 没有做检讨

(3)权限上没有对付上传的文件的文件权限,(尤其是对付shebang类型的文件)

(4)对付web server对付上传文件或者指定目录的行为没有做限定

四、文件上传漏洞攻击办法

1.前端限定

function check(){ var filename=document.getElementById(\公众file\"大众); var str=filename.value.split(\"大众.\"大众); var ext=str[str.length-1]; if(ext=='jpg'||ext=='png'||ext=='jpeg'||ext=='gif'){ return true; }else{ alert(\"大众这不是图片!
\"大众) return false; } return false; }

在表单中利用onsumbit=check()调用js函数来检讨上传文件的扩展名。
这种限定实际上没有任何用途,任何攻击者都可以轻而易举的破解。
只能用于对付用户完备信赖的情形下,很难称之为一种安全方法只能称之是一种防止用户误操作上传的方法。

事理:当用户在客户端选择文件点击上传的时候,客户端还没有向做事器发送任何,就对本地文件进行检测来判断是否是可以上传的类型,这种办法称为前台脚本检测扩展名。

绕过方法:

1).绕过前台脚本检测扩展名,便是将所要上传文件的扩展名变动为符合脚本检测规则的扩展名,通过BurpSuite工具,截取数据包,并将数据包中文件扩展名变动回原来的,达到绕过的目的。
例如:文件名本来为【evil.jpg】,上传时,用BurpSuite截包后,将数据包中的名字改为【evil.php】(或其它脚本类型)即可。

2).如果是JS脚本检测,在本地浏览器客户端禁用JS即可。
可利用火狐浏览器的NoScript插件、IE中禁用掉JS等办法实现。

2.检讨扩展名

便是在文件被上传到做事真个时候,对付文件名的扩展名进行检讨,如果不合法,则谢绝这次上传在检讨扩展名是否合法的时候,有两种策略:

1).黑名单策略,文件扩展名在黑名单中的为不合法:

$postfix = end(explode('.','$_POST['filename']);

if($postfix=='php'||$postfix=='asp'||$postfix=='sh'){

echo \"大众invalid file type\"大众;

return;

}

2).白名单策略,文件扩展名不在白名单中的均为不合法

$postfix = end(explode('.','$_POST['filename']);

if($postfix=='jpg'||$postfix=='png'||$postfix=='gif'){

//save the file and do something next

} else {

echo \"大众invalid file type\"大众;

return;

}

白名单策略是更加安全的,通过限定上传类型为只有我们接管的类型,可以较好的担保安全,由于黑名单我们可以利用各种方法来进行注入和打破

事理:当浏览器将文件提交到做事器真个时候,做事器端会根据设定的黑白名单对浏览器提交上来的文件扩展名进行检测,如果上传的文件扩展名不符合黑白名单的限定,则不予上传,否则上传成功。

绕过方法:

在一些Web server中,存在解析漏洞

1).老版本的IIS6中的目录解析漏洞,如果网站目录中有一个 /.asp/目录,那么此目录下面的统统内容都会被当作asp脚本来解析

2).老板本的IIS6中的分号漏洞:IIS在解析文件名的时候可能将分号后面的内容丢弃,那么我们可以在上传的时候给后面加入分号内容来避免黑名单过滤,如 a.asp;jpg

3).旧版Windows Server中存在空格和dot漏洞类似于 a.php. 和 a.php[空格] 这样的文件名存储后会被windows去掉点和空格,从而使得加上这两个东西可以打破过滤,成功上传,并且被当作php代码来实行

4).nginx(0.5.x, 0.6.x, 0.7 <= 0.7.65, 0.8 <= 0.8.37)空字节漏洞 xxx.jpg%00.php 这样的文件名会被解析为php代码运行(fastcgi会把这个文件当php看,不受空字节影响,但是检讨文件后缀的那个功能会把空字节后面的东西抛弃,以是识别为jpg)

5).apache1.x,2.x的解析漏洞,上传如a.php.rar a.php.gif 类型的文件名,可以避免对付php文件的过滤机制,但是由于apache在解析文件名的时候是从右向左读,如果碰着不能识别的扩展名则跳过,rar等扩展名是apache不能识别的,因此就会直接将类型识别为php,从而达到了注入php代码的目的。

3.检讨HTTP Header中的Content-Type

事理:HTTP协议规定了上传资源的时候在Header中加上一项文件的MIMETYPE,来识别文件类型,这个动作是由浏览器完成的,做事端可以检讨此类型不过这仍旧是不屈安的,由于HTTP header可以被发出者或者中间人任意的修正,不过加上一层防护也是可以有一定效果的绕过方法利用各种各样的工具(如burpsuite)强行修改Header就可以,将Content-Type: application/php改为其他web程序许可的类型Content-Type: image/jpgContent-Type: image/pngContent-Type: text/plain。

常用的MIMETYPE表

text/plain(纯文本)

text/html(HTML文档)

text/javascript(js代码)

application/xhtml+xml(XHTML文档)

image/gif(GIF图像)

image/jpeg(JPEG图像)

image/png(PNG图像)

video/mpeg(MPEG动画)

application/octet-stream(二进制数据)

application/pdf(PDF文档)

application/(编程措辞) 该种措辞的代码

application/msword(Microsoft Word文件)

message/rfc822(RFC 822形式)

multipart/alternative(HTML邮件的HTML形式和纯文本形式,相同内容利用不同形式表示)

application/x-www-form-urlencoded(POST方法提交的表单)

multipart/form-data(POST提交时伴随文件上传的表单)

4.剖析文件头内容来检讨文件类型

与方法2不同,还有一种检讨类型的办法是利用对付文件内容的验证机制,这种方法利用的是每一个特定类型的文件都会有不太一样的开头或者标志位。

在正常情形下,通过判断前10个字节,基本上就能判断出一个文件的真实类型。
可以通过比如php的exif_imagetype()函数,一个通过这种方法来过滤的示例代码如下:

if (! exif_imagetype($_FILES['uploadedfile']['tmp_name'])) {

echo \"大众File is not an image\公众;

return;

}

也可以自己编写函数来进行识别,图片文件常日有称作幻数的头字节,我们来看一下几种图片文件的幻数:(把稳!
下面是二进制而不是文本格式的数据)

JPGFF D8 FF E0 00 10 4A 46 49 46

GIF47 49 46 38 39 61

(相称于文本的GIF89a)

PNG89 50 4E 47绕过方法给上传脚本加上相应的幻数头字节就可以,php引擎会将 <?之前的内容当作html文本,不阐明而跳过之,后面的代码仍旧能够得到实行比如下面:(一样平常不限定图片文件格式的时候利用GIF的头比较方便,由于全都是文本可打印字符。

GIF89a

<?php

do_something();

?>

如果是其他类型的二进制文件,也有相应的头字节,如下表

5.限定Web Server对付特定类型文件的行为

导致文件上传漏洞的根本缘故原由在于做事把用户上传的本应是数据的内容当作了代码,一样平常来说,用户上传的内容都会被存储到特定的一个文件夹下,比如我们很多人习气于放在 ./upload/ 下面要防止数据被当作代码实行,我们可以限定web server对付特定文件夹的行为。

大多数做事端软件都可以支持用户对付特定类型文件的行为的自定义,以Apache为例:

在默认情形下,对与 .php文件Apache会当作代码来实行,对付 html,css,js文件,则会直接由HTTP Response交给客户端程序对付一些资源文件,比如txt,doc,rar等等,则也会以文件下载的办法传送的客户端。

我们希望用户上传的东西仅仅当作资源和数据而不能当作代码,因此可以利用做事器程序的接口来进行限定,以Apache为例,我们可以利用 .htaccess 文件机制来对web server行为进行限定禁止脚本实行有多种办法可以实现,而且分别有不同的效果:

1).指定特定扩展名的文件的处理办法,事理是指定Response的Content-Type可以加上如下几行AddType text/plain .pl .py .php这种情形下,以上几种脚本文件会被当作纯文本来显示出来,你也可以换成其他的Content-Type

2).如果要完备禁止特定扩展名的文件被访问,用下面的几行

Options -ExecCGI

AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi识别

在这种情形下,以上几种类型的文件被访问的时候,会返回403 Forbidden的缺点

3).也可以逼迫web做事器对付特定文件类型的处理,与第一条不同的是, 下面的方法直接强行让apache将文件识别为你指定的类型,而第一种是让浏览器

<FilesMatch \"大众\.(php|pl|py|jsp|asp|htm|shtml|sh|cgi)$\公众>

ForceType text/plain

</FilesMatch>

符合上面正则的全部被认为是纯文本,也可以连续往里面加入其他类型。

4).只许可访问特定类型的文件

<Files ^(.jpeg|.jpg|.png|.gif)>

order deny,allow

deny from all

</Files>

在一个上传图片的文件夹下面,就可以加上这段代码,使得该文件夹里面只有图片扩展名的文件才可以被访问,其他类型都是谢绝访问。

这又是一个白名单的处理方案,永久记得,白名单是最有保障的安全方法绕过方法可以通过 move_uploaded_file 函数把自己写的.htaccess 文件上传,覆盖掉做事器上的文件,来定义文件类型和实行权限如果做到了这一点,将得到相称大的权限。

6.文件系统00截断

事理:在上传的时候,当文件系统读到【0x00】时,会认为文件已经结束。
利用00截断便是利用程序员在写程序时对文件的上传路径过滤不严格,产生0x00上传截断漏洞。

绕过方法:通过抓包截断将【evil.php.jpg】后面的一个【.】换成【0x00】。
在上传的时候,当文件系统读到【0x00】时,会认为文件已经结束,从而将【evil.php.jpg】的内容写入到【evil.php】中,从而达到攻击的目的。

7.其它办法—绕过

事理:部分程序员的思维不严谨,并利用逻辑不完善的上传文件合法性检测手段,导致可以找到办法绕过其检测办法。

绕过方法:

1). 后缀名大小写绕过

用于只将小写的脚本后缀名(如php)过滤掉的场合;

例如:将Burpsuite截获的数据包中的文件名【evil.php】改为【evil.Php】

2). 双写后缀名绕过

用于只将文件后缀名过滤掉的场合,例如\"大众php\"大众字符串过滤的;

例如:上传时将Burpsuite截获的数据包中文件名【evil.php】改为【evil.pphphp】,那么过滤了第一个\公众php\公众字符串\"大众后,开头的'p'和结尾的'hp'就组合又形成了【php】。

3). 分外后缀名绕过

用于检测文件合法性的脚本有问题的场合;

例如:将Burpsuite截获的数据包中【evil.php】名字改为【evil.php6】,或加个空格改为【evil.php 】等。

五、文件上传漏洞实例分享

1.结合iis5.x/6.0解析漏洞上传文件

先上传一个asp文件,抓包看看返回结果是什么

由上图我们可以知道做事器是iis6.0,接下来我们利用iis6.0解析漏洞来上传我们的一句话,添加一个asp目录

2.一句话木马图片

剖析上图,先上传php文件,不许可,那么改下后缀名为png,还是弗成,看来是对文件内容做了检讨,做个图片马,上传

菜刀连接

3.绕过前端验证

先上传php文件

从上图可以看到上传的时候弹出一个弹窗,只让我们上传上面格式的文件,那么我们把我们的文件名后缀改成png,上传抓包,在包里将我们的文件再改回php文件

上图显示我们上传成功,那么末了便是菜刀拿shell了

4.修正Content-Type绕过

上传一句话抓包

从上图可以指看到,Content-Type字段是application/octet-stream,来到Repeater,将Content-Type: application/octet-stream改成Content-Type: image/jpeg

成功上传,菜刀连接,getshell

5.分外的上传办法

没有任何可以上传的页面,但是页面显示的是有上传的地址的,以是扫描一下,或者可以猜一下路径

没有显示缺点,解释这个目录下该当可以找到我们想要的的

猜一下上传目录,一开始写的是upload.php,进入之后就直接跳转到upload1.php,并且提示无权访问,抓包看一下吧

下面便是无限的抓包重放,看返回包中有没有什么我们须要的东西

下图这个返回包中我们可以看到upload.php下一跳该当是upload_file.php,但是由于权限问题,不能进去

但是,forward之后就涌现了上传界面,神奇啊,那就上传一句话

接下来只要知道绝对路径就可以上传我们的一句话了,这个cookie挺让我在意的,把它改成upload_file.php,go一下,返回包直接显示了上传路径,文件上传之后被重新命名了,命名规则也很大略:verify_当天日期_你上传的文件名,前面我们上传文件的时候,有个verify,它的值就不才面

成功getshell

六、文件上传漏洞防御戒备

文件上传漏洞常见的几种防御方法:

1.文件上传的目录设置为不可实行只要web容器无法解析该目录下面的文件,纵然攻击者上传了脚本文件,做事器本身也不会受到影响,因此这一点至关主要。

2.判断文件类型在判断文件类型时,可以结合利用MIME Type、后缀检讨等办法。
在文件类型检讨中,强烈推举白名单办法,黑名单的办法已经无数次被证明是不可靠的。
此外,对付图片的处理,可以利用压缩函数或者resize函数,在处理图片的同时毁坏图片中可能包含的HTML代码。

3.利用随机数改写文件名和文件路径文件上传如果要实行代码,则须要用户能够访问到这个文件。
在某些环境中,用户能上传,但不能访问。
如果运用了随机数改写了文件名和路径,将极大地增加攻击的本钱。
再来便是像shell.php.rar.rar和crossdomain.xml这种文件,都将由于重命名而无法攻击。

4.单独设置文件做事器的域名由于浏览器同源策略的关系,一系列客户端攻击将失落效,比如上传crossdomain.xml、上传包含script的XSS利用等问题将得到办理。