文件上传漏洞(File Upload)

简介

File Upload,即文件上传漏洞,通常是由于对用户上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马,病毒,恶意脚本等获取服务器的webshell权限,并进而攻击控制服务器,因此文件上传漏洞带来的危害常常是毁灭性的。简单点说,就是用户直接或者通过各种绕过方式将webshell上传到服务器中进而执行利用。例如,如果你的服务器为php环境,用户上传了一个php一句话木马,并通过菜刀连接获取webshell,就可能对你的服务器文件进行篡改甚至执行命令。

文件上传校验方法

客户端javascript校验(一般只校验后缀名)

当客户端选择文件点击上传的时候,客户端还没有向服务器发送任何消息,前端的 js 脚本就对文件的扩展名进行检测来判断是否是可以上传的类型

服务端校验

  • 文件头content-type字段校验   后端通过对上传文件的MIME类型进行黑白名单检测过滤
  • 文件内容头校验

不同的文件都有不同的文件头,文件头就是为了描述一个文件的一些重要的属性,它告诉了打开并处理该文件的程序这些属性。有些上传接口会检测你上传的文件头信息以此来判断是否为正真的文件类型,比如 jpg 格式图片头部是 JFIF ,gif头部是GIF89a,png头部是%PNG。

  • 校验文件大小

一些上传接口通过函数比如 getimagesize()  函数检测你上传的图片的大小是否是正常的图片大小,防止上传一句话木马。

  • 后缀名黑名单校验
  • 后缀名白名单校验
  • 自定义正则校验

WAF设备校验

(根据不同的WAF产品而定)

绕过姿势

1)客户端校验

  •  先将所上传文件扩展名改为符合脚本检测规范的拓展名,在上传时通过burpsuite抓包,将数据包中文件的拓展名还为原来的,以达到绕过的目的
  •  在本地浏览器中直接禁用JS

2)文件头content-type字段校验

使用burpsurite或firebug等篡改http header中Content-Type的内容,即将Content-Type: application/php改为其他web程序允许的类型,如Content-Type: image/jpg,Content-Type: image/png,Content-Type: text/plain。

常见MIME类型:

text/plain(纯文本)

text/html(HTML文档)

text/javascript(js代码)

application/xhtml+xml(XHTML文档)

image/gif(GIF图像)

image/jpeg(JPEG图像)

image/png(PNG图像)

video/mpeg(MPEG动画)

application/octet-stream(二进制数据)

application/pdf(PDF文档)

application/(编程语言) 该种语言的代码

application/msword(Microsoft Word文件)

message/rfc822(RFC 822形式)

multipart/alternative(HTML邮件的HTML形式和纯文本形式,相同内容使用不同形式表示)

application/x-www-form-urlencoded(POST方法提交的表单)

multipart/form-data(POST提交时伴随文件上传的表单)

3)文件内容头校验

  • 在上传的脚本的头部加上相应的文件头字节(php引擎会将 <?之前的内容当作html文本,不解释而跳过之,后面的代码仍然能够得到执行)

附一张各种格式文件内容头表

  •  找一个符合上传过滤类型的文件与脚本文件合并制作图片木马,后将新文件上传,再结合文件包含漏洞getshell

4)校验文件大小

       在上传数据里不断填充垃圾数据或制作图片木马进行绕过。

5)黑名单校验文件后缀名

       寻找遗漏文件类型绕过

6)其他绕过方法

  • 00截断
  • 后缀名大小写绕过
  • 条件竞争
  •  解析漏洞

总结:上传绕过方法要灵活运用,不能死板,可以多种方法结合以达到上传效果

实验

实验环境:phpstudy2016

靶机:DVWA file upload HIGH安全级别

 

源码

 

可知,此等级采用了白名单过滤,只允许后缀名为jpg,jpeg或png格式的文件上传,并且文件大小要小于100000字节。

在cmd中用copy命令生成图片木马

 

发现一句话木马一插入图片尾部

 

上传成功

 

可见文件位于C:\phpstudy\WWW\DVWA\hackable\uploads目录下

尝试用菜刀连接

发现出现错误,因为木马被当作图片解析而不被当作php解析

此时可利用文件包含漏洞

 

利用DVWA的File Inclusion漏洞来将图片解析为php

构造url

http://169.254.16.216/DVWA/vulnerabilities/fi/?page=file:///C:\phpstudy\WWW\DVWA/hackable/uploads/shell.jpg 添加到菜刀 参数为qlu

 

连接发现错误,这是为DVWA需要登陆

可以右键点击刚添加的shell,选择浏览网址,在菜刀自带的浏览器中登陆DVWA将安全等级设为high及以下.

 

然后就可以成功连接.

防护

1.文件上传的目录设置为不可执行

只要web容器无法解析该目录下面的文件,即使攻击者上传了脚本文件,服务器本身也不会受到影响,因此这一点至关重要。

2.判断文件类型

在判断文件类型时,可以结合使用MIME Type、后缀检查等方式。在文件类型检查中,强烈推荐白名单方式,黑名单的方式已经无数次被证明是不可靠的。此外,对于图片的处理,可以使用压缩函数或者resize函数,在处理图片的同时破坏图片中可能包含的HTML代码。

3.使用随机数改写文件名和文件路径

文件上传如果要执行代码,则需要用户能够访问到这个文件。在某些环境中,用户能上传,但不能访问。如果应用了随机数改写了文件名和路径,将极大地增加攻击的成本。再来就是像shell.php.rar.rar和crossdomain.xml这种文件,都将因为重命名而无法攻击。

4.单独设置文件服务器的域名

由于浏览器同源策略的关系,一系列客户端攻击将失效,比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。

转载于:https://www.cnblogs.com/r3t7rn/p/11440132.html

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
下面是一个常见的解决方案,用于修复Java中的文件上传漏洞: 1. 验证文件类型:在接收文件上传时,不仅要验证文件扩展名,还应该检查文件的MIME类型。可以使用Java的MimeTypeMap类或Apache的Tika库进行验证。 ```java import org.apache.tika.Tika; String mimeType = new Tika().detect(file); if (!mimeType.startsWith("image/")) { // 非图片类型,拒绝上传 } ``` 2. 限制文件大小:在服务器端设置最大文件大小限制,以防止上传过大的文件。可以在应用程序的配置文件中配置最大文件大小,并在上传前检查文件大小。 ```java // 假设maxFileSize是允许的最大文件大小,单位为字节 if (file.getSize() > maxFileSize) { // 文件过大,拒绝上传 } ``` 3. 隔离上传目录:确保上传的文件存储在与应用程序代码和其他敏感数据隔离的目录中。最好使用一个独立的目录来存储上传的文件,并确保该目录不可通过Web访问。 ```java String uploadDirectory = "/path/to/upload/directory"; File saveFile = new File(uploadDirectory, fileName); // 保存上传文件到指定目录 ``` 4. 文件名处理:对上传的文件名进行处理,以防止路径遍历攻击和其他安全问题。可以使用正则表达式或字符串替换方法来删除或转义文件名中的特殊字符,并使用随机生成的文件名来保存上传的文件。 ```java String safeFileName = fileName.replaceAll("[^a-zA-Z0-9.-]", "_"); File saveFile = new File(uploadDirectory, safeFileName); // 保存上传文件到指定目录,使用安全的文件名 ``` 5. 安全权限设置:确保存储上传文件的目录具有适当的权限设置。限制对该目录的写入权限,并仅允许应用程序访问所需的文件。 ```bash chmod 700 /path/to/upload/directory ``` 6. 定期清理:定期检查上传目录并删除不再需要的文件。可以编写一个定时任务或脚本来清理过期或不再使用的上传文件。 这些解决方案可以帮助您修复Java中的文件上传漏洞。请记住,安全性是一个持续的过程,您可能还需要考虑其他安全措施,如防火墙、安全审计等。最重要的是,及时更新和修补您的应用程序以解决已知的安全漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值