文件上传

文件上传校验姿势

客户端javascript校验（一般只校验后缀名）

服务端校验

文件头content-type字段校验（image/gif）

文件内容头校验（GIF89a）

后缀名黑名单校验

后缀名白名单校验

自定义正则校验

WAF设备校验（根据不同的WAF产品而定）

1.客户端校验

　　一般都是在网页上写一段javascript脚本，校验上传文件的后缀名，有白名单形式也有黑名单形式。

　　判断方式：在浏览加载文件，但还未点击上传按钮时便弹出对话框，内容如：只允许上传.jpg/.jpeg/.png后缀名的文件，而此时并没有发送数据包。

2.服务端校验

2.1 content-type字段校验

　　这里以PHP代码为例，模拟web服务器端的校验代码

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

<?php if($_FILES['userfile']['type'] != "image/gif") #这里对上传的文件类型进行判断，如果不是image/gif类型便返回错误。 { echo "Sorry, we only allow uploading GIF images"; exit; } $uploaddir = 'uploads/'; $uploadfile = $uploaddir . basename($_FILES['userfile']['name']); if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) { echo "File is valid, and was successfully uploaded.\n"; } else { echo "File uploading failed.\n"; } ?>

　　可以看到代码对上传文件的文件类型进行了判断，如果不是图片类型，返回错误。

2.2 文件头校验

　　可以通过自己写正则匹配，判断文件头内容是否符合要求，这里举几个常见的文件头对应关系：

（1） .JPEG;.JPE;.JPG，”JPGGraphic File”

（2） .gif，”GIF 89A”

（3） .zip，”Zip Compressed”

（4） .doc;.xls;.xlt;.ppt;.apr，”MS Compound Document v1 or Lotus Approach APRfile”

文件上传绕过校验姿势

客户端绕过（抓包改包）

服务端绕过

文件类型

文件头

文件后缀名（黑名单）

双文件上传

配合文件包含漏洞绕过

配合服务器解析漏洞绕过

CMS、编辑器漏洞绕过

配合操作系统文件命名规则绕过

配合其他规则绕过

WAF绕过

1.客户端绕过

　　可以利用burp抓包改包，先上传一个gif类型的木马，然后通过burp将其改为asp/php/jsp后缀名即可。

2.服务端绕过

2.1 文件类型绕过

　　我们可以通过抓包，将content-type字段改为image/gif

2.2 文件头绕过

　　在木马内容基础上再加了一些文件信息，有点像下面的结构

        GIF89a<?php phpinfo(); ?>

2.3 文件后缀名绕过

前提：黑名单校验

黑名单检测：一般有个专门的 blacklist 文件，里面会包含常见的危险脚本文件。

绕过方法：

（1）找黑名单扩展名的漏网之鱼 - 比如 asa 和 cer 之类

（2）可能存在大小写绕过漏洞 - 比如 aSp 和 pHp 之类

能被解析的文件扩展名列表：

jsp jspx jspf

asp asa cer aspx

php php php3 php4

exe exee

3.配合文件包含漏洞

前提：校验规则只校验当文件后缀名为asp/php/jsp的文件内容是否为木马。

绕过方式：（这里拿php为例，此漏洞主要存在于PHP中）

（1）先上传一个内容为木马的txt后缀文件，因为后缀名的关系没有检验内容；

（2）然后再上传一个.php的文件，内容为<?php Include(“上传的txt文件路径”);?>

此时，这个php文件就会去引用txt文件的内容，从而绕过校验。

4.配合服务器解析漏洞

详细可参考：http://thief.one/2016/09/21/服务器解析漏洞/

5.配合操作系统文件命令规则

（1）上传不符合windows文件命名规则的文件名

　　test.asp.

　　test.asp(空格)

　　test.php:1.jpg

　　test.php::$DATA

　　shell.php::$DATA…….

会被windows系统自动去掉不符合规则符号后面的内容。

（2）linux下后缀名大小写

在linux下，如果上传php不被解析，可以试试上传pHp后缀的文件名。

6.CMS、编辑器漏洞

（1）CMS漏洞：比如说JCMS等存在的漏洞，可以针对不同CMS存在的上传漏洞进行绕过。

（2）编辑器漏洞：比如FCK，ewebeditor等，可以针对编辑器的漏洞进行绕过。

这两方面的漏洞以后单独成文汇总，这里点到为止。

7.配合其他规则

（1）0x00截断：基于一个组合逻辑漏洞造成的，通常存在于构造上传文件路径的时候

　　test.php(0x00).jpg

　　test.php%00.jpg

　　路径/upload/1.php(0x00)，文件名1.jpg，结合/upload/1.php(0x00)/1.jpg

1 2 3 4 5

name= getname(httprequest) //假如这时候获取到的文件名是 help.asp.jpg(asp 后面为 0x00) type =gettype(name) //而在 gettype()函数里处理方式是从后往前扫描扩展名，所以判断为 jpg if(type == jpg) SaveFileToPath(UploadPath.name, name) //但在这里却是以 0x00 作为文件名截断 //最后以 help.asp 存入路径里

8.WAF绕过

8.1 垃圾数据

　　有些主机WAF软件为了不影响web服务器的性能，会对校验的用户数据设置大小上限，比如1M。此种情况可以构造一个大文件，前面1M的内容为垃圾内容，后面才是真正的木马内容，便可以绕过WAF对文件内容的校验；

当然也可以将垃圾数据放在数据包最开头，这样便可以绕过对文件名的校验。

可以将垃圾数据加上Content-Disposition参数后面，参数内容过长，可能会导致waf检测出错。

8.2 filename

针对早期版本安全狗，可以多加一个filename

或者将filename换位置，在IIS6.0下如果我们换一种书写方式，把filename放在其他地方：

8.3 POST/GET

有些WAF的规则是：如果数据包为POST类型，则校验数据包内容。

此种情况可以上传一个POST型的数据包，抓包将POST改为GET。

8.4 以上方式

针对WAF，以上介绍的服务器解析漏洞、文件包含漏洞等都可以尝试绕过。

文件校验的几点建议或者说修复方式

文件扩展名服务端白名单校验。

文件内容服务端校验。

上传文件重命名。

隐藏上传文件路径。