【网络安全之文件上传漏洞详解】，看这篇文章准没错

本文链接：https://blog.csdn.net/2401_84240742/article/details/137617562

漏洞分类：WEB前端验证，常规漏洞、中间件漏洞、编辑器漏洞。

二.防护与绕过技巧：

2.1前端验证

前端验证就是网页只在前端JS界面做了过滤限制，但是其过滤限制用户可控

例1：

如下upload第一关，上传一个带有后门的php文件，提示只能上传JPG，PNG，GIF格式，查看源代码之后发现是前端页面对上传类型做了检测限制。

此时可以在网页浏览器禁用JS，然后上传成功。

2.2 白名单

顾名思义，白名单就是服务端明确规定上传格式，比如JPG，GIF，PNG等格式，除此之外其他类型无法上传。

绕过

MIME绕过：

通过检查http中包含的Content-Type字段中的值来判断上传文件是否合法，因此可以将此字段改成允许上传的。

例2：

来到第二关，还是限制只能上传GIF，JPG，PNG格式，但是在禁用JS上传已经不管用了，因为对方用了MIME验证。

打开burp抓包，找到Content-Type字段，可以发现其与代码中允许的字段不一致，所以将Content-Type字段改成代码中允许的字段类型提交即可。

%00空字符截断：

在文件上传后验证文件扩展名往本地保存的时候，%00就会形成一个null字符，截断文件名，只保存%00之前的内容。

注：只用于php5.3以下版本，并且要在php扩展设置>>参数开关设置中把magic_quotes_gpc关闭。

例3：

修改路径值，添加%00，然后提交。

2.3黑名单

与白名单相反，通过限制某些文件格式，使其无法上传之服务端。

绕过

.HTACCESS绕过：

只存在于APACHE中

主要功能：URL重写、自定义错误页面、MIME类型配置以及访问权限控制等。主要体现在伪静态的应用、图片防盗链、自定义404错误页面、阻止/允许特定IP/IP段、目录浏览与主页、禁止访问指定文件类型、文件密码保护等。

简而言之，在httpd.conf文件中有对文件上传的过滤规则，我们通过给目目录下上传一个重新定义解析规则的.htaccess文件，此时生效的过滤规则就会替换原来http.conf中的规则。

例4：

1.上传一个.htaccess文件

文件内容为：将xxx.jpg文件解析为PHP

<FilesMatch “xxx.jpg”>
SetHandler application/x-httpd-php

2.然后创建xxx.jpg文件插入一句话木马，然后访问图片链接。

::$DATA绕过：

在 Windows 操作系统中，:: $D A T A 是一种用于隐藏文件的特殊附加数据流，如果文件名 + ::$ DATA会把:: $D A T A 之后的数据当成文件流处理, 不会检测后缀名，且保持 ::$ DATA之前的文件名，他的目的就是不检查后缀名。

2.4内容检测

文件头完整性检测：

文件头是文件开头的一段二进制代码，不同的文件其文件头类型也不同，可以用NotPad++查看。

GIF：47494638
JPG：FFD8FF
PNG：89504E47

在安全测试中不但可以对文件后缀格式进行检测，还可以对文件头部完整性检测，防止恶意文件上传。

例5：

由源码可知，此关卡对文件头部做了检测；并且题目已经提示使用文件包含漏洞。

function getReailFileType($filename){
$f i l e = f o p e n ($ filename, “rb”);
$bin = f re a d ($ file, 2); //只读2字节
fclose($file);
$strInfo = @unpack(“C2chars”, $bin);
$t y p e C o d e = in t v a l ($ strInfo[‘chars1’].$strInfo[‘chars2’]);
$f i l e T y p e =^{''}; s w i t c h ($ typeCode){
case 255216:
$fileType = ‘jpg’;
break;
case 13780:
$fileType = ‘png’;
break;
case 7173:
$fileType = ‘gif’;
break;
default:
$fileType = ‘unknown’;
}