任意文件上传

哈哈。。。。。。

已于 2024-01-06 14:34:43 修改

阅读量890

点赞数 22

文章标签：安全

于 2024-01-06 14:31:19 首次发布

本文链接：https://blog.csdn.net/jxy158212/article/details/135407334

版权

本文详细阐述了文件上传过程中的恶意攻击手段，如webshell的利用、客户端和服务器端的各种验证机制（如JS验证、MIME-Type检测、后缀名检查），以及如何通过各种技巧绕过这些防御，包括条件竞争和解析漏洞利用。

摘要由CSDN通过智能技术生成

一、概念

由于对上传文件未作过滤或过滤机制不严（文件后缀或类型），导致恶意用户可以上传脚本
文件，通过上传文件可达到控制网站权限的目的

危害：

攻击者可获得网站控制权限

查看、修改、删除网站数据

通过提权漏洞可获得主机权限

二、webshell

1、概念

Webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门。黑客在入侵了一个网站后，通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，以达到控制网站服务器的目的。

2、示例

php的一句话木马：

<?php @eval($_POST['pass']);?>

asp的一句话木马：

<%eval request ("pass")%>

aspx的一句话木马：

<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>

三、所需条件

木马上传成功，未被杀
知道木马的路径在哪
上传的木马能正常运行（解析）

四、绕过

判断点1：上传一个非法文件，返回结果是否快，如果返回快，则为客户端检测
判断点2：上传一个非图片内容，但是后缀名为图片的文件，是否成功，成功则为黑名单
判断点3：上传一个非图片后缀的文件（随便编写的后缀名），上传失败，为白名单
判断点4：上传成功后的图片的大小、MD5值等是否发生改变，若改变，则为重新渲染

接下来，将按图上所述分类进行解释

1、JS前端验证

在客户端验证上传的文件是否合法

①源码分析

②绕过

方法一、使用burp直接删除掉JS代码之后就可以绕过JS验证

方法二、利用浏览器的审查工具剔除JS之后，保存为新文件然后进行文件上传

③访问文件

2、MIME-Type验证

服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法。部分网站上传功能只对文件类型做了判断，抓包修改文件类型可绕过限制

常见MIME类型

超文本标记语言文本 .html text/html
xml 文档 .xml text/xml
普通文本 .txt text/plain
RTF 文本 .rtf application/rtf
PDF 文档 .pdf application/pdf
Microsoft Word 文件 .word application/msword
PNG 图像 .png image/png
GIF 图形 .gif image/gif
JPEG 图形 .jpeg,.jpg image/jpeg
au 声音文件 .au audio/basic
MIDI 音乐文件 mid,.midi audio/midi,audio/x-midi
RealAudio 音乐文件 .ra, .ram audio/x-pn-realaudio
MPEG 文件 .mpg,.mpeg video/mpeg
AVI 文件 .avi video/x-msvideo
GZIP 文件 .gz application/x-gzip
TAR 文件 .tar application/x-tar
任意的二进制数据 application/octet-stream

①源码分析

如果type不是image/jpeg、image/png、image/gif，则无法成功上传

所以我们需要修改对应的mine-type为以上几个值

②绕过

使用burp抓包后修改

③访问文件

3、后缀检测

1）黑名单与白名单区别

基于白名单验证：只针对白名单中有的后缀名，文件才能上传成功
基于黑名单验证：只针对黑名单中没有的后缀名，文件才能上传成功

2）黑名单绕过

.htaccess文件绕过

①原理

htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能

SetHandler application/x-httpd-php
设置当前目录所有文件都使用PHP解析，那么无论上传任何文件，只要文件内容符合PHP语言代码规范，就会被当作PHP执行。不符合则报错。

②前提条件

Apache中如果需要启动 .htaccess，必须在http.conf中设置 AllowOverride

③源码

这里的黑名单中没有.htaccess

那么我们上传.htaccess文件来设置使用php解析任意文件

④上传.htaccess文件

⑤上传file.png后访问

大小写绕过

①原理

Windows系统下，对于文件名中的大小写不敏感。例如：test.php和TeSt.PHP是一样的
Linux系统下，对于文件名中的大小写敏感。例如：test.php和 TesT.php就是不一样的

②源码

这里没有对大小写过滤

③上传.pHP文件并访问

空格绕过

①原理

Windows系统下，对于文件名中空格会被作为空处理，程序中的检测代码却不能自动删除空格。从而绕过黑名单

②源码

③上传文件，使用burpsuite抓包后，添加空格

④访问文件

.号绕过

①原理

Windows系统下，文件后缀名最后一个点会被自动去除

②源码

③上传文件，使用burpsuite抓包后，添加.号

④访问文件

特殊符号绕过

①原理

Windows系统下，如果上传的文件名中test.php::$DATA会在服务器上生成一个test.php的文件，其中内容和所上传文件内容相同，并被解析

②源码

③上传文件，使用burpsuite抓包后，添加::$DATA

④访问文件

将::$DATA

路径拼接绕过

①原理

在没有对上传的文件进行重命名的情况下，用户可以自定义文件名并在服务器中上传新建，就会造成对应的绕过黑名单

例如：用户新建 1.php.+空格+.
deldot删除最后一个点之后，不再进行删除，trim删除空格，那么最终上传的文件名为 1.php.利用Windows自动去除最后一个点，导致成功上传1.php

②源码

③上传文件，使用burpsite抓包后修改

④访问文件

双写绕过

①原理

代码编写过程中，只对黑名单中的内容进行空替换，因为只替换一次所以造成双写绕过

②源码

③利用Burpsuite工具截断，直接将php文件后缀名修改为 pphphp

④访问文件

3）白名单绕过

00截断

①原理

0x00是十六进制表示方法，是ascii码为0的字符，在有些函数处理时，会把这个字符当做结束符。
系统在对文件名的读取时，如果遇到0x00，就会认为读取已结束

比如数据包中存在 path 为 uploads/，那么攻击者可以通过修改 path 的值来构造 payload 为：uploads/1.php%00。程序检测的是文件的后缀名，如果后缀合法就会拼接路径和文件名，攻击者修改 path 后的拼接结果为：upload/1.php%00/2021091823123.jpg（可绕过后缀的检测），移动文件时%00 产生截断作用，文件就会保存为 upload/1.php，达到getshell 的目的

如果 path 在非“enctype=multipart/form-data”的表单中或在 URL、cookie**中时，可以直接写%00，不再需要 urldecode 操作，服务器自己会对%00 进行 url 解码

②条件

php<5.3.4
magic_quotes_gpc 为 off 状态
有时数据包中必须含有上传文件后的目录才可使用该方法

③源码

④使用burpsite抓包

⑤访问文件

4、内容检测

1）文件头检测绕过

①原理

通过正则匹配判断文件幻数（文件头）内容是否符合要求，一般是在木马文件头部插入对应的文件头内容，伪装成图片马。

.gpng .jpe .jpg :JPGGraphicFile（FFD8FFFE00）
.gif .png：GIF89A（474946383961）
.zip：”ZipCompressed”（504B0304）
.doc .xls .xlt .ppt .apr：“MSCompoundDocumentv1orLotusApproachAPRfile”
（D0CF11E0A1B11AE1）