漏洞复现|文件上传漏洞利用方式与原理概述

上传-javascript检测

简介

通过js代码，对文件后缀进行判断。

原理

一般使用白名单或黑名单的方式，判断文件后缀，根据后缀决定用户是否上传。

攻击

Firebug插件删除判断函数

使用靶机pikachu做例子，直接通过F12修改。

tupian.php

<?php
    echo phpinfo();
?>

F12查看代码

客户端通过onchange实践的checkFileExt函数进行检测，我们删除掉调用这个函数的部分。

我们再次上传tupian.php

可以看路径，我们修改上方的url，进行访问。

可以看到代码已经运行。

中间人攻击-burpsuite拦截

防御

上传无法防御，可以进行文件重命名。

上传-MIME检测

简介

js的检测基本没有了，开始使用后端代码进行检测，虽然进行MIME检测是使用的后端代码，但是，依然是从客户端获取的，可以从客户端修改，我还是归于上传这一类了。

简单来说，在请求头中Content-Type:type/subtype来表明类型，常见的有

text/plain
text/html
image/jpeg
image/jpg
image/png
audio/mpeg
audio/ogg
audio/*
video/mp4
application/*
application/json
application/javascript
application/ecmascript
application/octet-stream

攻击

中间人攻击-burpsuite拦截

burpsuite拦截

修改Content-Type

Forward 可以看到发送过去了，后序验证同上，不再重复截图。

防御

上传无法防御，可以进行文件重命名。

上传-后端文件格式检测

简介

一些后端代码含有一些函数，能够判断文件类型，获取文件的一些信息。以php为例，php的getimagesize函数可以获取图像的一些信息，如果不是图像，那么无法获取信息，就会报错。

有的站点使用文件头来检测文件类型，这种检查可以在Shell前加入对应的字节以绕过检查。几种常见的文件类型的头字节如下表所示

类型 二进制值

JPG FF D8 FF E0 00 10 4A 46 49 46
GIF 47 49 46 38 39 61
PNG 89 50 4E 47
TIF 49 49 2A 00
BMP 42 4D

原理

如果你学过图像相关的课程，比如信息隐藏这门课，会使用Matlab读取图像，进行信息隐藏，你就会知道图像的一些格式，符合格式的话就是那个类型的文件，一般是头部的一些字节。我们通过将恶意代码前面添加其他类型文件的头部就可以伪造成另一个类型，进而绕过检测。

攻击

我们修改tupian.php为tupian.php.jpg，进行上传。

可以看到，图片没有办法上传，虽然后缀对，但是内部是不正确的。

我们使用Linux中的xxd或od命令来查看.PNG或.png图片的信息（博主虽然是在Windows中，但是使用的是cygwin）。

可以看到文件前面是一样的。

使用cmd命令 copy /b CA.png + tupian.php tupian.png

目录下会生成新图片tupian.png，而且符合png格式，但是在图片后面是php代码。

图片上传成功，但是打开后还是图片。

我们再使用之前的文件包含漏洞就可以了，注意url。

php由于历史原因，部分解释器可能支持符合正则 /ph(p[2-7]?|t(ml)?)/ 的后缀，如 php / php5 / pht / phtml / shtml / pwml / phtm 等 可在禁止上传php文件时测试该类型。

jsp引擎则可能会解析 jspx / jspf / jspa / jsw / jsv / jtml 等后缀

asp支持 asa / asax / cer / cdx / aspx / ascx / ashx / asmx / asp{80-90} 等后缀。

除了这些绕过，其他的后缀同样可能带来问题，如 vbs / asis / sh / reg / cgi / exe / dll / com / bat / pl / cfc / cfm / ini 等。

防御

若没有文件包含漏洞，问题不大，否则无法防御。

上传-文件截断

简介

php %00截断，由于00代表结束符，00后面的所有字符都会删除掉，发生在php5.3.4之前版本，php的magic_quotes_gpc为OFF状态。

攻击

正好被水印挡住了，挡住的部分就是参数magic_quotes_gpc。

解析-Apache文件解析

一个文件可以有多个后缀，如：lady_killer.txt.png.mp3，在Windows中自然是认为这是mp3文件，也就是说最后的后缀生效。但是，Apache却是从右向左读后缀，不认识的跳过继续读，前面的文件就认为是图片，如果没有配置mp3后缀的话。因此，对于

tupian.php.xxx就会认为这是php文件。类型的定义在Apache/conf/mime.types中

解析-IIS文件解析

IIS 6也出现截断攻击，截断字符为";"。由于phpStudy没有这个版本，太老了，不想去实现了，知道下就行了。

解析-PHP CGI路径解析

没找到了2010年的cve，可能是提交的bug吧，就是路径为evil.jpg/1.php时，Nginx会把evil.jpg当做php文件交给php运行。

https://www.laruence.com/2010/05/20/1495.html

通过抓包提交，绕过前端js检测，删除对js验证脚本的调用，使其不能对上传的文件类型做检测，从而达到绕过

黑名单绕过

使用更多后缀

jsp jspx jspf

asp asa cer aspx

php php3 php4 pht phtml

后缀大小写绕过

由于windows不区分大小写，后端校验未使用strtolower等函数将文件后缀大小写统一处理，导致黑名单不完整而绕过

1.pHP

后缀双写绕过

后端过滤时，使用了preg_replace等替换函数将php关键字替换为空，但是却没有循环替换，导致前面的ph和后面的p重新组合成php，从而导致绕过

1.phphpp

空格绕过

由于Windows处理文件时，会自动删除文件后缀带有的空格和点，从而导致绕过。

1.php

后面有空格

::$DATA绕过

Windows的一种流文件格式，上传这种格式流文件格式的同时会在相同目录下生成一个含有相同内容宿主文件

MIME绕过

修改Content-Type中为允许的类型，以下为常见MIME类型

GIF image/gif
JPG image/pjpeg image/jpeg
ZIP application/x-compressed application/octet-stream
JSP text/html
EXE application/octet-stream

%00截断绕过

PHP<5.3.29，且GPC关闭时，%00在URL中充当结束符，当解析到%00时，解析器就会认为字符串已经读取完毕

1.php%00a.jpg

十六进制的0x00也可

文件头检查绕过

例如，仅允许上传图片，通过文件头来判断，这时可以将恶意代码拼接到图片后面

条件竞争绕过

有的文件上传功能是先将文件下载到服务器，如果是有问题的就删除，我们可以利用这一逻辑漏洞，不断上传文件，即可访问。

后缀白名单，MIME类型判断结合

2.文件重命名

3.文件上传目录设置为不可执行