突破常规！文件上传漏洞的6大隐蔽攻击面（多个高危场景剖析）|挖洞技巧

本文系统梳理文件上传相关漏洞挖掘思路，从下载、读取、上传到导出，覆盖各类攻击场景，帮助安全研究者快速定位并利用这些漏洞，包括任意文件读取、路径穿越、XXE等高危场景，并提供实用的测试方法和绕过技巧。

参考文章：https://xz.aliyun.com/news/18107 ，转载自渗透安全HackTwo

0x02 漏洞详情

下载读取

文件可疑ID遍历/注入下载接口出现铭感信息的(自己独有的东西)有用户的汇集的地方就很可能存在漏洞●出现数字ID遍历,越权下载其他人文件,GET``POST皆切换尝试,利用IDOR越权,但是有鉴权字段就无效了●注入思考是**+1 -1**,观察数值有没有被带入执行,可以是选择性数字的导入/下载数字是否带入数据库查询导出Excle功能点,输入1的时候，表示导出第一列数据，此处包长为6360

在我输入2的时候表示导出前2列数据，此时包长为6364

当我输入xxx?id=2-1时，此时导出的是开始第一列1列数据，包长为6360了，这就很明显的用户可以操控拼接进SQL语句进行正则运算,所以遇到文件id 测试遍历及注入有时候也会有意想不到的惊喜探测到注入无过滤情况就可以构造恒真条件永远为真，导致查询返回所有记录，从而绕过了原本的查询条件，获取了所有列的数据,假设存在过滤条件就慢慢探测了，只能靠个人思路绕过file参数下载接口任意读取读取文件功能点接口,按照读取的文件id返回对应的文件,字段file=xxxx,同上文不同的是虽然功能也是为文件相关,但相关字段并不是idfileidinode这种明确表示依靠文件id输出文件的,而是file表示文件相关字段,此类场景不仅仅可以测试注入、越权、遍历、还可以测试任意文件读取,类似的参数还有filesname file files, 不外乎功能点,只能接口字段出现此类就可以测试,只是这种漏洞出现在操作文件读取下载场景较多,下面会介绍到利用伪协议读取场景

列如apis/xxxxxxx/download?filePath=接口，于是便可以尝试任意文件读取，成功下载etc/passwd

整理好通用字典,形成自己的测试规范,遇到好的绕过Payload做好记录,

图片链接http://file/1.png图片的链接形式是http://file//xxxxx.png可以测试成file//etc/passwd或者只保留http://file对路径无处理可能会列出该目录下所有的文件type类型任意文件读取接口中出现type类型参数时,尝试读取文件,最不起眼的参数也可能隐藏着重大的安全风险,设计要文件相关的参数都需要铭感起来filename

400状态码任意读取推特国外大牛挖掘遇到的情况,在路径上进行路径遍历,本以为参数带入才可以路径遍历,有时候骚的思路路径就是参数,响应包为400试试看路径遍历

文件包含任意文件读取区别文件包含会包含文件然后输出,任意文件读取只能读取

文件包含和任意文件读取都支持伪协议还有远程地址,但是文件包含一般会有漏洞文件的前缀根据功能点分析这个地方会是SSRF还是任意文件读取,请求网络功能如下必须测试DNSlog无响应办法就测试任意文件读取file协议,能读文件了就可以读其他记录IP的铭感文件,需要注意权限的问题，权限决定我们能读取/下载文件范围,尝试读取root/.bash_history看自己是否有root权限,此文件只能是root用户读取它包含了root用户操作命令的记录如果没有,只能按部就班的利用../来逐层跳转读取不带协议文件包含

理解http://xxxx/saber?name=etc/passwd与http://xxxxx/saber?name=file://etc/passwd之间的差异

任意文件读取攻防利用思路

https://mp.weixin.qq.com/s/7prdLc9ml6q2chrRxdsdEQ

拿到任意读取漏洞思路先读取管理员root用户.bash_history命令记录 ,看自己是否有root权限,此文件只能是root用户读取它包含了root用户操作命令的记录，读取此用户的登录私钥包括历史记录记录，如果用户配置了可以通过密钥登录，那么读取私匙到本地 也可以完成 登录,私匙验证的东西远程下载下来,然后可以直接拿私匙到自己电脑上去远程登录对方ssh无法读取管理员.bash_history,尝试读取/proc/self/status进程的uid和gid判断 当前用户权限

后读取/etc/password的内容对比进程知道自己是什么用户,此文本会显示系统所有的用户,搜索home /bin/zsh就是实际存在且可以登录系统的用户以及root用户

攻防中首先尝试身份去读取/root/.bash_history,获取管理员的历史命令记录,如果读取不了代表当前并没有root权限,则寻找其他可登录的用户,以它的身份去读取文件

file读取机器文件获得内网IPLinux系统Windows系统常见中间件日志路径dicr协议探测内网端口读取到IP就可以这样这样爆破操作

参考文章：https://www.cnblogs.com/aninock/p/15663953.htmlhttps://www.sqlsec.com/2021/05/ssrf.html

如果读取到IP端口并且未授权就连接Redisdict这个协议也可以操作Redis执命令

读取或包含Redis密码记录网站存在文件包含可以 读取redis配置文件信息,或者是其他的Spring boot heapdump等

上传文件图片路径可控覆盖文件 / 上传后无路径一个点可以任意读取,通过读取/home/user/.bash_history历史命令得到网址的目录地址,然后跨目录传

参考：https://forum.butian.net/share/2350

判断是否可控文件路径和文件名可控指我们选择图片上传，在请求包中/响应包就会显示出路径，我们修改路径或者文件名为自己可控的，再次发送如果成功路径代表可控

路径可控,那么可以控制整个网站的目录尝试覆盖，网站下存放的东西在前端是可以知道的，上传相同的路径相同的文件名不就可以实现覆盖了嘛)此处是上传功能,上传的参数为type,正常上传后发现响应包回显的路径是这样,路径回显了等于请求包控制了响应包的上传,

猜测type参数就是文件夹名,如果 更改为其他的就会上传到其他位置去,使用../实现跨目录上传思路就是寻找系统的web路径，直接上传脚本getshell上传不可知路径路径推测方法如果响应包回显了路径可以删掉第一层然后拼接响应的目录,上传文件靶场都是这样的形式一般单独上传后的目录都是会在这一层目录下比如上传回显如果是saber/1.txt或是1.txt 直接拼接在后面就行,会去掉原有 一层 看很多都是这样的OSS阿里云验证文件上传到OSS服务器过程中的三种经典验证方式

前提未上云且可以预览不然不满足正常的文件上传,涉及到了云存储桶攻防,任何情况下，都不可以企图直接以图片后缀（.jps/.png/.gif/.jepg）命名文件并上传，这类文件里即使包含html代码或者js代码，其代码也不会被任何浏览器解析的任意上传不限制类型上传任意后缀文件都不解析,尝试上传.HTML文件写入XSS,或上传异常后缀的文件,写入HTML代码是很有可能得到存储XSS任意上传尝试htaccess文件 导致RCE任意文件上传/类型解析

参考：https://forum.butian.net/share/1615

阿里云任意文件上传的时候，先判断文件的路径和文件名是否可控，接着去同厂商的其他网站查找静态图片或文件，看是否可以相互转换，实现任意文件覆盖上传图片任意上传html asp php的文件,如路径可控进行路径穿越不做解析情况不做解析我们修改文件类型Content-Type为我们想要的,上传的文件是HTML PDF SVG格式 不解析但是可以预览,或许是因为这个类型没有改变,把它的东西全部作为图片去解析了,尝试更改类型(此操作情况是上传的文件支持预览操作而不是访问后直接下载,这样才有危害)

上传后缀名还是.jpg但文件类型改为html上传成功可能会图片后缀解析html

payload上传泄露bucket桶覆盖文件导入或者上传的功能点,也是上传过后响应包返回了如下数据,如不知道桶名只能源码慢慢审查,判断是哪个云厂商然后找平台文档找脚本进行应用填入对应的值,还是需要一个包一个包的找泄露

根据文档脚本进行上传文件操作,上传的文件是在根目录下,按理

通过脚本填入对应的值,任意上传文件至网站根目录,如知晓 网站其他路径上传即可实现覆盖操作.body为上传的内容

上传Excle文件XXE

参考：https://xz.aliyun.com/t/17026

创建XlSX利用压缩软件打开在,解压到桌面 在xl/workbook.xml路径下打开文件加入Payload,以下内容插入第2行和第3行，SYSTEM后面自己添加相对应的dns记录均可，可以是BP可以是DNS.log

加入Paylaod保存是现在是文件夹的形式

压缩为zip然后手动改后缀为xlsx,是两步 然后就弄好了恶意文件,切换地址就行了

有回显切换伪协议读取文件它在任何场景下都只有一种Payload,产生的地方有docx文档或xlsx指的是把xxe语句写在这些文件里面去上传访问)文件导致SSRF或本地文件读取 现在的功能点直接支持插入XXE语句的非常少常见的XML传参的数据包在语句之间插入Payload上传压缩软链接任意读取文件

参考：https://xz.aliyun.com/

功能点是上传压缩包,压缩包读取里面的文件内容返回,利用这个点我们要构造它读取的文件内容是否可以重定向到其他的位置,思路还是很好的，实战场景较少可以作为拓展点

上传头像/图片img可控CSRF退出头像上传处抓包,请求包的img可控的话代表我们可以自己构造http请求;可控头像用的是外面的链接,我们抓取退出网站的请求CSRF,发送后成功添加,我们的头像就是一个代码链接,别人看到了就会加载访问.退出网站上传302跳转未授权绕过401当我们未授权上传文件(此处未授权不清楚是正常功能点还是说寻找参数构造的上传),如果响应包没有返回401状态码且进行了302跳转，原理是中间件做了统一路由处理，重定向到登录地址或某一处利用利用资源文件后缀绕过此类的限制,加入.png``.jpg

文件name重命名RCE当上传一个文件的时候如果有参数可以更改文件名，出现两个文件名参数，可能调用cmd命令rename案例中执行了ping命令 但是感觉好少啊这个情况还能这样RCE

修改其中的一个文件名后面利用RCE的绕过|执行PING

图片大小参数可控制上传图片width height参数可控的话,通过修改图片大小数值让服务器分配资源增加，具有拒绝服务攻击的安全隐患。使用Image Size lssues插件进行检测算是捡烂吧,观察响应包的自己数量判断

越权/遍历上传上传某些东西,头像文件,上传后如果发现存在数字,尝试修改ID越权给他人上传,甚至是遍历fileid它人的上传信息,上传后文件名如第二种，可能此文件是系统经过重命名的，重命名的方式一般采用当前上传的时间戳或者当前上传的日期加随机字段，这种情况下枚举较为困难导出文件CSV注入其实此漏洞大多数SRC不会收取,因为危害大小完全是人为控制的,导出的xlsx没有被触发那么就一定没有效果,只能做到钓鱼的效果,但学习一下不是坏事,在不限制漏洞类型的众测中还是可以捡到钱的大部分人忽略了这个问题

CSV注入详解-先知社区

PDF导出SSRF内网网页导出表格或者html文档为PDP或者图片JPG,只要抓包存在https以先测试H1标签.如果导出的PDF出现了标签代表解析HTML标签使用iframe标签新开窗测试解析DNS,只要对外发出请求了DNS收到响应,那么代码里面再嵌入内网地址读取也是SSRF再尝试file协议读取文件相关组件及业务场景尝试从PDF导出到SSRF

●导出PDF文件或者其他文件内容可控●解析HTML导出场景

出现代码手动插入payload,插入后等待DNS响应,响应成功代表是有SSRF请求了,再利用伪协议读取文件

完整的攻击文章,从导出探测到可控之后尝试读取内网再读取内网文件,但亮点是正常是通过iframe标签但这里使用的JS代码读取,之后读取的文件内容会导出到PDFXSS到任意文件读取导出PDF通过请求file协议读取文件,javascript将在服务器端执行，通过注入以下 代码从文件系统进行文件的读取

绕过当一些特殊标签比如<svg>,<Iframe>等被禁用后，我们可以使用<meta>0秒刷新请求元数据绕过方式看不懂这个方式,不过也是插入下面的语句到导出的功能,之后的PDF就会带出内网信息

未授权导出CSRF+邮箱接收功能点导出信息会被发送到指定的邮箱进行接收,邮箱发送地址可控,导出文件也会有数据包链接,如果导出没有校验,我们把导出的请求做成CSRF给受害者,地址为攻击者,这样受害者在登录状态下点击执行了导出的请求,那么个人就发送到攻击者的邮箱上,拓展想一下的话并不是导出这个地方可以,比如邀请、发送、铭感信息的交互给第三方,无Token鉴权功能都可以尝试CSRF打出组合的效果

导出置空参数公众号学习到的思路也是采取了模糊查询手法,涉及到用户场景都可以尝试置空或%往往会有意想不到的效果,

如侵权请私聊我们删文

原文始发于微信公众号（黑白之道）：突破常规！文件上传漏洞的6大隐蔽攻击面（多个高危场景剖析）|挖洞技巧