文件上传漏洞部分知识点

首先,我们知道SQL注入攻击的对象是数据库,文件上传的漏洞对象是web服务;两者结合可以达到对目标的深层控制。

一、文件上传漏洞

1、文件上传漏洞原理

**文件上传漏洞的原理:**就是未对用户上传的文件进行检查和过滤,导致某些别有用心的用户上传了一些恶意代码或文件(asp、php、jsp等),从而控制了网站。(当文件上传时,如果服务端的脚本语言没有对上传的文件进行检查和过滤,那假如,渗透者直接上传恶意代码文件,那么就有可能直接控制整个网站,或者说以此为跳板,直接拿下服务器,这就是文件上传漏洞。)

Web应用程序通常会有文件上传的功能,例如,在BBS发布照片、在个人网站发布压缩包等。只要web应用程序允许上传文件,就有可能存在文件上传漏洞。
上传漏洞与sql注入漏洞相比,其风险更大。如果web应用程序存在上传漏洞,攻击者甚至可以上传一个webshell到服务器上。非法用户可以利用上传webshell,webshell脚本具有非常强大的功能,比如查看服务器目录、服务器中的文件,执行系统命令等。

一般文件上传的流程如下:

  1. 前端选择文件,进行提交。
  2. 浏览器形成POST MultiPart报文发送到服务器。
  3. 服务器中间件接收到报文,解析后交给相关后端代码进行处理。
  4. 后端代码将上传的文件内容写入到临时文件中(php持有)。
  5. 写入到文件中,文件名为提交的文件名或以一定规则生成的文件名。

2、文件上传漏洞存在前提

1.存在上传点。
2.可以上传动态文件。
3.上传目录有执行权限,并且上传的目录可执行。
4.可访问到上传的动态文件。
或者说
1.文件上传功能能正常使用。
2.上传文件路径可知。
3.上传文件可以被访问。
4.上传文件可以被执行或被包含。

3、防止文件上传漏洞的方法

1,前端判断上传文件的类型
2,后端判断文件mime类型
3,后端判断文件的后缀名

二、解析漏洞

**文件解析漏洞:**主要由于网站管理员操作不当或者 Web 服务器自身的漏洞,导致一些特殊文件被 IIS、apache、nginx 或其他 Web服务器在某种情况下解释成脚本文件执行。比如网站管理员配置不当,导致php2、phtml、ascx等等这些文件也被当成脚本文件执行了。甚至某些情况下管理员错误的服务器配置导致.html、.xml等静态页面后缀的文件也被当成脚本文件执行。但是,大部分的解析漏洞还是由于web服务器自身的漏洞,导致特殊文件被当成脚本文件执行了。

攻击者再利用上传漏洞时,通常会与web容器的解析漏洞配合在一起。所以我们首先要了解解析漏洞,这样才能更深入地了解上传漏洞,并加以防范。
常见的web容器:IIS、Nginx、Apache、Tomcat,WebLogic、WebSphere、JBoss等

Web容器:是一种服务程序,给处于其中的应用程序组件提供环境,使其直接跟容器中的环境变量交互,不必关注其它系统问题。主要由应用服务器来实现,如Tomcat、JBoss、Weblogic、WebSphere等。
Web应用程序需要部署到Web容器中才能运行,两者都必须符合J2EE规范。

1、IIS解析漏洞

①目录解析漏洞(文件夹解析漏洞):
在IIS5.x/6.0中,在网站下建立文件夹的名字为***.asp、.asa、.cer、*.cdx** 的文件夹,那么其目录内的任何扩展名的文件都会被IIS当做asp文件来解释并执行。例如创建目录test.asp,那么 /test.asp/1.jpg 将被当做asp文件来执行。假设<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST[x])?>')?>

将文件保存成test.jpg格式,上传到服务器,假设上传路径为/upload,上传成功后,直接访问/upload/test.jpg/x.php,此时神奇的畸形解析开始发挥作用啦。test.jpg将会被服务器当成php文件执行,所以图片里面的代码就会被执行。我们会神奇的发现在 /upload 目录下创建了一个一句话木马文件 shell.php 。
临时解决办法:设置 cgi.fix_pathinfo为0
这个解析漏洞和下面讲的Nginx的解析漏洞是一样的。

④其他解析:
在windows环境下,xx.jpg[空格] 或xx.jpg. 这两类文件都是不允许存在的,若这样命名,windows会默认除去空格或点,
黑客可以通过抓包,在文件名后加一个空格或者点绕过黑名单。若上传成功,空格和点都会被windows自动消除。

2、Apache解析漏洞

Apache在解析文件是有一个规则:当碰到不认识的扩展名时,将会从后向前解析,直到碰到认识的扩展名为止;如果不认识,则会暴露码源。
如:1.php.rar.xs.aa
Apache首先会先解析aa扩展名,如果不认识,将会解析xs扩展名,这样一直遍历到认识的扩展名为止,然后将其进行解析。
Apache认识的扩展名,可以在Apache安装目录下“/conf/mime.types”文件中有详细的扩展名列表。

其修复方法:
Apache配置中,禁止xx.php.xxx类似的文件执行

<Files ~ "/.(php.|php3.)"> Order Allow,Deny Deny from all </Files> 

.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过 .htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能IIS平台上不存在该文件,该文件默认开启,启用和关闭在 httpd.conf 文件中配置。

.htaccess 文件生效前提条件为
· mod_rewrite 模块开启
· AllowOverride All

#1:这个.htaccess的意思就是把所有名字里面含有shell的文件当成php脚本来执行
<FilesMatch “shell”>
SetHandler application/x-httpd-php

#2:这里代码的意思可以让 .jpg后缀名文件格式的文件名以php格式解析
AddType application/x-httpd-php .jpg

3、Nginx解析漏洞

漏洞成因:
php的配置文件 php.ini 文件中开启了 cgi.fix_pathinfo
/etc/php5/fpm/pool.d/www.conf中不正确的配置security.limit_extensions,导致允许将其他格式文件作为php解析执行。
在nginx<0.8.03环境中,我们新建一个文件,内容为:<?php phpinfo() ?> ,然后将其名字修改为:test.jpg,在浏览器中访问http://192.168.10.139/test.jpg 显示图片解析错误。在浏览器中访问 http://192.168.10.139/test.jpg/test.php ,显示:Access denied.。这就奇怪了,test.jpg是文件不是目录,test.php更是根本就不存在的文件,访问/test.jpg/test.php没有报404,而是显示 Access denied. 。这是到底为啥?
文件上传漏洞部分知识点

原因在于,Nginx拿到文件路径(更专业的说法是URI)/test.jpg/test.php 后,一看后缀是.php,便认为该文件是php文件,于是转交给php去处理。php一看 /test.jpg/test.php 不存在,便删去最后的/test.php,又看/test.jpg存在,便把/test.jpg当成要执行的文件了,又因为后缀为.jpg,php认为这不是php文件,于是返回 Access denied. 。

这其中涉及到php的一个选项:cgi.fix_pathinfo,该值默认为1,表示开启。开启这一选项有什么用呢?看名字就知道是对文件路径进行处理。举个例子,当 php 遇到文件路径 /aaa.xxx/bbb.yyy/ccc.zzz时,若 /aaa.xxx/bbb.yyy/ccc.zzz 不存在,则会去掉最后的 /ccc.zzz ,然后判断 /aaa.xxx/bbb.yyy 是否存在,若存在,则把 /aaa.xxx/bbb.yyy 当做文件 /aaa.xxx/bbb.yyy/ccc.zzz ,若 /aaa.xxx/bbb.yyy 仍不存在,则继续去掉 /bbb.yyy ,以此类推。

该选项在配置文件 php.ini 中。若是关闭该选项,访问 http://127.0.0.1/test.jpg/test.php 只会返回找不到文件。但关闭该选项很可能会导致一些其他错误,所以一般默认是开启的。

三、文件上传绕过技巧

1、客户端校验(js校验)

一般是在网页上写一段Js脚本,用Js去检测,校验上传文件的后缀名的合法性问题。
在检查扩展名是否合法的时候,有两种策略:白名单策略和黑名单策略。

**判断方式:**在浏览加载文件,但还未点击上传按钮时便弹出对话框(进一步确定可以通过配置浏览器HTTP代理(没有流量经过代理就可以证明是客户端JavaScript检测)),内容如:只允许上传.jpg/.jpeg/.png后缀名的文件,而此时并没有发送数据包,所以可以通过抓包来判断,如果弹出不准上传,但是没有抓到数据包,那么就是前端验证。其实,也可以直接查看网页源代码,源代码中如果没有js前端效验,那么就一定是后端效验喽。

**绕过方法:**这个限制是在客户端进行的,这种限制形同虚设。上传正常文件改数据包就可以绕过,甚至关闭JS都可以尝试绕过。
将需要上传的恶意代码文件类型改为允许上传的类型,例如将shell.asp改为shell.jpg上传,配置Burp Suite代理进行抓包,然后再将文件名shell.jpg改为shell.asp 上传页面,审查元素,修改JavaScript检测函数(具体方法:可以使用firbug之类的插件把它禁掉)

黑白名单机制:
黑名单:不允许上传什么,文件扩展名在黑名单中的为不合法。
白名单:只允许上传什么,文件扩展名不在白名单中的均为不合法。
白名单比黑名单更安全。

2、服务端检测

检查Content-Type (内容类型)
检查后缀 (检查后缀是主流)
检查文件头

绕过方法:假如将webshell代码文件后缀改为其它被服务器认为是安全的后缀,再通过解析漏洞让其按照脚本文件进行解析,就达到了最终的目的。

2.1 MIME检测绕过(Content-Type检测):

MIME的作用:使客户端软件,区分不同种类的数据,例如web浏览器就是通过MIME类型来判断文件是GIF图片,还是可打印的PostScript文件。web服务器使用MIME来说明发送数据的种类,web客户端使用MIME来说明希望接收到的数据种类。
HTTP协议规定了上传资源的时候在Header中加上一项文件的MIMETYPE,来识别文件类型,这个动作是由浏览器完成的,服务端可以检查此类型不过这仍然是不安全的,因为HTTP header可以被发出者或者中间人任意的修改,不过加上一层防护也是可以有一定效果的。

**绕过方法:**配置Burp Suite代理进行抓包,将Content-Type修改为image/gif,或者其他允许的类型然后在对应目录生成shell.jpg
text/plain(纯文本)
text/html(HTML文档)
text/javascript(js代码)
application/xhtml+xml(XHTML文档)
image/gif(GIF图像)
image/jpeg(JPEG图像)
image/png(PNG图像)
video/mpeg(MPEG动画)
application/octet-stream(二进制数据)
application/pdf(PDF文档)
application/(编程语言) 该种语言的代码
application/msword(Microsoft Word文件)
message/rfc822(RFC 822形式)
multipart/alternative(HTML邮件的HTML形式和纯文本形式,相同内容使用不同形式表示)
application/x-www-form-urlencoded(POST方法提交的表单)
multipart/form-data(POST提交时伴随文件上传的表单)

2.2 服务端扩展名检测绕过:

在文件被上传到服务端的时候,对于文件名的扩展名进行检查,如果不合法,则拒绝这次上传。在检查扩展名是否合法的时候,有两种策略:黑名单策略和白名单策略。

黑名单检测:黑名单的安全性比白名单低很多,服务器端,一般会有个专门的bl文件上传漏洞部分知识点

  1. 文件特征检测
    a. 绕过方法
    b. 文件幻术:也就是通过各个图片的特征头加在最前面,用来欺骗防御,然后后面加上webshell代码
    c. JPG :FF D8 FF E0 00 10 4A 46 49 46
    GIF :47 49 46 38 39 61 (GIF89a)
    PNG:89 50 4E 47
  2. 文件相关
版权声明:玥玥 发表于 2021-07-27 17:08:16。
转载请注明:文件上传漏洞部分知识点 | 女黑客导航