一、概念
由于对上传文件未作过滤或过滤机制不严(文件后缀或类型),导致恶意用户可以上传脚本
文件,通过上传文件可达到控制网站权限的目的
危害:
攻击者可获得网站控制权限
查看、修改、删除网站数据
通过提权漏洞可获得主机权限
二、webshell
1、概念
Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。
2、示例
php的一句话木马:
<?php @eval($_POST['pass']);?>
asp的一句话木马:
<%eval request ("pass")%>
aspx的一句话木马:
<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
三、所需条件
- 木马上传成功,未被杀
- 知道木马的路径在哪
- 上传的木马能正常运行(解析)
四、绕过
- 判断点1:上传一个非法文件,返回结果是否快,如果返回快,则为客户端检测
- 判断点2:上传一个非图片内容,但是后缀名为图片的文件,是否成功,成功则为黑名单
- 判断点3:上传一个非图片后缀的文件(随便编写的后缀名),上传失败,为白名单
- 判断点4:上传成功后的图片的大小、MD5值等是否发生改变,若改变,则为重新渲染
接下来,将按图上所述分类进行解释
1、JS前端验证
在客户端验证上传的文件是否合法
①源码分析
②绕过
方法一、使用burp直接删除掉JS代码之后就可以绕过JS验证
方法二、利用浏览器的审查工具剔除JS之后,保存为新文件然后进行文件上传
③访问文件
2、MIME-Type验证
服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法。部分网站上传功能只对文件类型做了判断,抓包修改文件类型可绕过限制
常见MIME类型
- 超文本标记语言文本 .html text/html
- xml 文档 .xml text/xml
- 普通文本 .txt text/plain
- RTF 文本 .rtf application/rtf
- PDF 文档 .pdf application/pdf
- Microsoft Word 文件 .word application/msword
- PNG 图像 .png image/png
- GIF 图形 .gif image/gif
- JPEG 图形 .jpeg,.jpg image/jpeg
- au 声音文件 .au audio/basic
- MIDI 音乐文件 mid,.midi audio/midi,audio/x-midi
- RealAudio 音乐文件 .ra, .ram audio/x-pn-realaudio
- MPEG 文件 .mpg,.mpeg video/mpeg
- AVI 文件 .avi video/x-msvideo
- GZIP 文件 .gz application/x-gzip
- TAR 文件 .tar application/x-tar
- 任意的二进制数据 application/octet-stream
①源码分析
如果type不是image/jpeg、image/png、image/gif,则无法成功上传
所以我们需要修改对应的mine-type为以上几个值
②绕过
使用burp抓包后修改
③访问文件
3、后缀检测
1)黑名单与白名单区别
- 基于白名单验证:只针对白名单中有的后缀名,文件才能上传成功
- 基于黑名单验证:只针对黑名单中没有的后缀名,文件才能上传成功
2)黑名单绕过
.htaccess文件绕过
①原理
htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过htaccess文件,可以帮我们实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能
SetHandler application/x-httpd-php
设置当前目录所有文件都使用PHP解析,那么无论上传任何文件,只要文件内容符合PHP语言代码规范,就会被当作PHP执行。不符合则报错。
②前提条件
Apache中如果需要启动 .htaccess,必须在http.conf中设置 AllowOverride
③源码
这里的黑名单中没有.htaccess
那么我们上传.htaccess文件来设置使用php解析任意文件
④上传.htaccess文件
⑤上传file.png后访问
大小写绕过
①原理
- Windows系统下,对于文件名中的大小写不敏感。例如:test.php和TeSt.PHP是一样的
- Linux系统下,对于文件名中的大小写敏感。例如:test.php和 TesT.php就是不一样的
②源码
这里没有对大小写过滤
③上传.pHP文件并访问
空格绕过
①原理
Windows系统下,对于文件名中空格会被作为空处理,程序中的检测代码却不能自动删除空格。从而绕过黑名单
②源码
③上传文件,使用burpsuite抓包后,添加空格
④访问文件
.号绕过
①原理
Windows系统下,文件后缀名最后一个点会被自动去除
②源码
③上传文件,使用burpsuite抓包后,添加.号
④访问文件
特殊符号绕过
①原理
Windows系统下,如果上传的文件名中test.php::$DATA会在服务器上生成一个test.php的文件,其中内容和所上传文件内容相同,并被解析
②源码
③上传文件,使用burpsuite抓包后,添加::$DATA
④访问文件
将::$DATA
路径拼接绕过
①原理
在没有对上传的文件进行重命名的情况下,用户可以自定义文件名并在服务器中上传新建,就会造成对应的绕过黑名单
例如:用户新建 1.php.+空格+.
deldot删除最后一个点之后,不再进行删除,trim删除空格,那么最终上传的文件名为 1.php.利用Windows自动去除最后一个点,导致成功上传1.php
②源码
③上传文件,使用burpsite抓包后修改
④访问文件
双写绕过
①原理
代码编写过程中,只对黑名单中的内容进行空替换,因为只替换一次所以造成双写绕过
②源码
③利用Burpsuite工具截断,直接将php文件后缀名修改为 pphphp
④访问文件
3)白名单绕过
00截断
①原理
0x00是十六进制表示方法,是ascii码为0的字符,在有些函数处理时,会把这个字符当做结束符。
系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束
比如数据包中存在 path 为 uploads/,那么攻击者可以通过修改 path 的值来构造 payload 为:uploads/1.php%00。程序检测的是文件的后缀名,如果后缀合法就会拼接路径和文件名,攻击者修改 path 后的拼接结果为:upload/1.php%00/2021091823123.jpg(可绕过后缀的检测),移动文件时%00 产生截断作用,文件就会保存为 upload/1.php,达到getshell 的目的
如果 path 在非“enctype=multipart/form-data”的表单中或在 URL、cookie**中时,可以直接写%00,不再需要 urldecode 操作,服务器自己会对%00 进行 url 解码
②条件
- php<5.3.4
- magic_quotes_gpc 为 off 状态
- 有时数据包中必须含有上传文件后的目录才可使用该方法
③源码
④使用burpsite抓包
⑤访问文件
4、内容检测
1)文件头检测绕过
①原理
通过正则匹配判断文件幻数(文件头)内容是否符合要求,一般是在木马文件头部插入对应的文件头内容,伪装成图片马。
.gpng .jpe .jpg :JPGGraphicFile(FFD8FFFE00)
.gif .png:GIF89A(474946383961)
.zip:”ZipCompressed”(504B0304)
.doc .xls .xlt .ppt .apr:“MSCompoundDocumentv1orLotusApproachAPRfile”
(D0CF11E0A1B11AE1)
②图片码制作
- 直接在木马文件的头部添加 GIF89A 等字母
- 直接在图片文件中添加 payload(易造成图片损坏)
- 使用 cmd 命令,copy abc.jpg /b + file.php /a abc1.jpg
③源码
getimagesize()函数会读取目标文件的 16 进制,验证目标文件 16 进制的头几个字符串是否符合图片的要求,通过此函数判断文件类型
exif_imagetype()函数是用来读取文件的第一个字节并检查其签名,即通过文件头判断文件类型。
④上传图片码并访问
2)二次渲染
当我们按照1)的步骤上传文件并访问后,发现没有变化,这时,我们将文件下载后与之前的文件进行比对发现文件发生了变化
上传前的文件
上传后的文件
发现,对应的一句话木马没有了,这时我们需要进行二次渲染
找到渲染前后没有发生变化的地方
将一句话木马插入到没有进行修改的地方
再次上传文件并访问
5、条件竞争绕过
①原理
条件竞争是由于服务端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,会导致此类问题的发生。条件竞争一般发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。
利用文件上传成功至文件被删除之间的时间差,上传一个可执行脚本文件,再使用多线程并发的方式访问上传的文件,总会有一次在时间差内访问到上传的php 文件,一旦成功访问到了上传的文件,就能执行 payload,因为 php 之类的代码只要访问就能执行
②源码
6、利用服务器解析漏洞绕过
解析漏洞主要是一些特殊文件被Apache、IIS、Nginx等Web服务器在某种情况下解释成脚本
文件格式并得以执行而产生的漏洞
1)Apache解析漏洞
Apache解析漏洞 CVE-2017-15715
此漏洞形成的根本原因,在于$正则表达式中$不仅匹配字符串结尾位置,也可以匹配\n 或 \r
在解析PHP时,1.php\x0a将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
上传文件test.php. 抓包 修改php后面的点(2e) 为 换行(0a)访问 test.php%0a
Apache AddHandler解析漏洞
Apache默认一个文件可以有多个后缀名,每次识别从右到左识别,当最右边的后缀无法识别时,则继续向左识别。mime.types中记录apache可识别的后缀名。
添加AddHandler,使得任何文件只要包含.php后缀名的文件都会被当作php文件解析
为了使php文件可以被解析
用户自己添加了AddHandler:“AddHandler application/x-httpd-php .php”
2)IIS
IIS6 解析漏洞
基于文件名:该版本默认会将*.asp;.jpg此种格式的文件名,当成asp解析。
原理是服务器默认不解析;号及其后面的内容相 当于截断
3)nginx解析漏洞
Nginx 在图片中嵌入 PHP 代码 , 然后通过访问 xxx.jpg%00.php 可以执行其中的代码