linux文件上传白名单绕过,【漏洞详解】基于文件上传点挖掘存储型XSS漏洞

原标题：【漏洞详解】基于文件上传点挖掘存储型XSS漏洞

说到文件上传漏洞，常见的姿势是是尝试利用上传木马 Getshell。但是，在挖漏时很少碰到可以顺利上传木马的点，一般都是卡在某一步(服务器白名单过滤、已上传木马文件找不到路径、无法解析……)，然后不了了之……而实际上，对于文件上传的功能点，我们还可以进一步尝试进行存储型 XSS 跨站脚本攻击，往往会有意想不到的惊喜！本文将对其进行介绍。

PART ONE

实战案例

先来看某大佬分享的一个实战案例：【漏洞挖掘】从受限的上传漏洞到储存型XSS 。

1、上传功能

在做项目时，我非常喜欢通过 Fuzz 来研究目标的文件上传点。一般来说，文件上传漏洞会造成严重的安全漏洞，并且技术人员似乎难以防范。考虑到应用站点的安全性，有经验的人员会将上传的文件储存在特定域，以减轻或避免上传漏洞造成的危害。

目标属于私人项目，站点上有一个请求协助功能。在这个求助表单中，用户可以上传附件。尝试上传正常的图片后，我注意到一件事：上传的图片被储存在同一个域下。

服务器响应包：

1{ "result":true, "message": "/UploadFiles/redacted/redacted/3021d74f18ddasdasd50abe934f.png,"code ":0}

2

2、模糊测试

接下来做常规操作，上传.html文件，返回：

1{ "result": false, "message": "That file type is not supported.", "code": 0}

当然，这是预料之中的事。现在，我可以大致判断目标站点采用了白名单策略。

接下来，尝试使用 Burp Intruder 来爆破有哪些后缀。Github 上的 SecLists 项目有一个很好用的后缀字典。但是，经过测试发现目标站点似乎存在速率限制，发了几十个数据包后，我的 IP 被 ban 了。

挂上V皮N，我接着手动测试了一些常用扩展。我还测试了我想得到的所有绕过方法(空字节绕过，unicode 编码等等)，但都失败了。目前得出四个可上传的后缀名：jpg，jpeg，png 和 gif，成功上传后，目标应用会给文件重新赋名。

最后注意到一个有趣的东西，扩展名中可存在特殊字符，并且不会被删除。举个例子， badfile.”gif可以上传成功，但是badfile.foo”gif不行。

于是乎，构造请求：

1-----------------------------6683303835495

2Content-Disposition: form-data; name= "upload"; filename= "badfile.''gif"

3Content-Type: image/png

4

5GIF89a

6@HackerOn2Wheels

7-----------------------------6683303835495--

服务器响应：

1{ "result": true, "message": "/UploadFiles/redacted/redacted/3021d74f18f649f5ac943ff50abe934f.''gif", "code": 0}

关于这个文件上传点，总结如下：

应用从最后一个"."中取扩展名；

文件名中，仅允许存在 a-z A-Z 0-9；

存在白名单策略(gif, png, jpg, jpeg)；

如果文件扩展名名合法，则创建文件，并且更改文件名称。

3、上传绕过

Web应用通常会检测目标文件的文件头，并以此判断是否合法。例如，我随意上传一个文件：

1-----------------------------6683303835495

2Content-Disposition: form-data; name= "upload"; filename= "badfile.''gif"

3Content-Type: image/png

4

5foobar

6@HackerOn2Wheels

7-----------------------------6683303835495--

服务器响应：

1{ "result": false, "message": "That file type is not supported.", "code": 0}

在上传过滤函数中，一般只会检验文件头中的前四个字节。例如，下面这几个图像文件被检测的字节：

1JPEG- FF D8 FF DB - ÿØÿÛ

2GIF - 47494638- GIF8

3PNG - 89504E 47- ‰PNG

我只需使用上面的任意一个，就可以成功上传。目前，大多数浏览器会检验完整的文件头，但 IE/Edge 除外。例如GIF和PNG文件，完整的文件头为：

1GIF-474946383961 -GIF89a( orGIF87a)

2PNG-89504 E470 D0 A1 A0 A-.PNG....

如何利用？

如果要利用这点，仅需做到两点。

错误的文件扩展，上传该文件，以混淆浏览器;

添加神奇的文字头：GIF8

发送请求：

1---------------------------- -6683303835495

2Content-Disposition: form-data; name= "upload"; filename= "badfile.''gif"

3Content-Type: image/png

4

5GIF8

6 <>alert('XSS is easy'); > html>

7---------------------------- -6683303835495--

服务端响应：

1{ "result": true, "message": "/UploadFiles/redacted/redacted/5060bddf6e024def9a8f5f8b9c42ba1f.''gif", "code": 0}

上次成功，用 Microsoft Edge 或 Internet Explorer 访问文件，成功触发 XSS 漏洞：

PART TEO

原理分析

上述添加图片类型文件头的文件，为什么还能被浏览器解析并触发 XSS 漏洞？下面将逐步进行分析。

1、Linux文件特性

要搞清楚这点，我们先在 Kali Linux 虚拟机的 Apcahe 服务网站目录下创建三个文件，文件属性分别为：

文件头长度4个字节(GIF8)的文件 gif4bytes(不带扩展名)；

文件头长度8个字节(GIF89a)的文件 gifMagicBytes(不带扩展名)；

没有文件头，扩展名为.gif的图像文件 test.gif(不带文件名)。

文件内容分别如下图所示：

在 Linux 机器，使用 file 命令查看文件属性：

可以看到，Linux 是基于文件头和内容来判断文件类型的。

首先，只要附有图像文件头，不管是 4 字节或 8 字节，都会被认为是图像文件。

从上面 Linux 特性可以看到，我们可以通过向带有 HTML 代码的文件添加图片文件特有的文件头来迷惑服务器，从而达到文件上传绕过的目的。

2、火狐/谷歌特性

创建好上述测试文件，我们开启 Kali Linux 的 Apache 服务：

然后在本地物理机的谷歌浏览器访问上述文件：

可以看到，两个被插入了 XSS 代码和 gif 文件头的文件 (均被 Linux 服务器当作图片)在谷歌浏览器里均无法解析 JS 代码，无法触发弹框：

就连被 Linux 服务器当作 html 文档的test.gif文件在谷歌浏览器里， JS 代码也一样无法被解析：

同时再看看火狐浏览器的解析结果吧：

【小结】从上图可以看到，Firefox 和 Chrome 浏览器会同时关注文件头和扩展，它们会检测整个文件，仅有 4 个字节或者 8 个字节的文件头无法使 Firefox 或 Chrome 将其渲染为 GIF 文件。即使可以渲染，较新版本的 Firefox 或 Chrome 也会对文件做预包装(Pre-wrap)处理，这将破坏html标签。目前，似乎没人可以直接绕过这点。

【Question】

这不对呀？那上面的实战案例里面为何badfile.''gif文件里的 JS 代码就能够被解析？

请回去注意一个细节！上面是使用 Microsoft Edge 或 Internet Explorer 浏览器访问的badfile.''gif文件，而不是谷歌浏览器或者火狐浏览器！下面我们上 Edge/IE 浏览器来试试！

3、Edge/IE嗅探攻击

先来看看 IE 浏览器对带有图片文件头、html代码的文件的解析结果：

惊不惊喜！意不意外！先继续向下看，另一个带有 8 字节图片文件头的：

但是未带有文件头的 test.gif 文件的 html 代码就无法被解析执行了：

最后也附上 Edge 浏览器的解析结果吧：

【小结】Edge 和 IE 浏览器在默认情况下，易受 MIME 嗅探攻击。简单来说，就是 Edge/IE 会检视文件内容，然后根据这点来设置访问类型。在我们的badfile.”gif例子中，它会先读取内容，发现存在标签，则会设置解析类型为 text/html。这正是漏洞发生的地方。

PART THREE

进阶利用

上面我们通过上传一个 不带扩展名的文件 或着 存在特殊字符的扩展的文件，并且可以写入 html 代码，结合 Edge 或 IE 的 MIME/Content sniffing 漏洞(微软并不认为这是漏洞)，便可执行任意 JS 代码，成功获得一个储存型 XSS 漏洞！

下面进一步分析另外更多的漏洞利用情况。

1、异常后缀名文件

在前面的实战案例里，badfile.''gif文件因为添加图片文件头导致可以上传(成功被服务器当作图像)，同时又因为后缀名存在特殊扩展字符导致可被解析。那么，其他特殊后缀名文件带有 JS 代码的话，是否也可以被浏览器解析呢？

不废话，直接上个例子测试下就知道了。继续在 Apache 网站目录下创建一个后缀名为.hhh的任意后缀文件，写入 XSS 测试代码：

此时在物理机浏览器进行访问，发现谷歌、火狐、IE、Edge均能解析其中的 JS 代码、触发弹窗：

此处可以把后缀名改为.ht ml、.j pg(中间有空格)等格式，尝试绕过服务器的过滤并上传，也可触发 XSS 漏洞！

前面实战案例里，badfile.''gif文件中 html 代码能够被解析，也正是这个文件异常后缀名的原因！

2、SVG格式的文件

如果应用允许上传 SVG 格式的文件(其实就是一个图像类型的)，那么带有以下 content 的文件可以被用来触发XSS：

1< svgxmlns= "http://www.w3.org/2000/svg"= "alert(document.domain)"/>

同样我们测试一下，先创建123.svg文件：

谷歌浏览器进行访问，成功弹窗：

PART FOUR

总结

以上内容信息量可能有点大，我们总结一下什么情况下可以成功利用文件上传功能点，成功挖掘到存储型 XSS 漏洞：

1、目标站点存在任意文件类型上传的情况

极有可能你尝试上传木马 Getshell 却发现木马无法解析。不要放弃，这时你可以上传一个 Html 文件 或者 不带扩展名 或 存在特殊字符的扩展的文件(即异常后缀)，并在该文件中写入 html 代码，即可大概率成功获得一个储存型 XSS。

2、目标站点只允许上传图片类型的文件

这时候可以创建一个带有图片文件头(比如GIF89a)的文件来欺骗 Linux 服务器(如本文提到的badfile.''gif文件，便被服务器当作图片类型了)，并且 不带扩展名 或者 存在特殊字符的扩展的文件(即异常后缀)，此时 结合 Edge 或 IE 浏览器的 MIME/Content sniffing 漏洞(微软并不认为这是漏洞)，你可以执行任意JS代码，获得一个存储型 XSS 漏洞！

3、目标站点允许上传.svg后缀图像的情况

此时直接上传带有代码的123.svg文件即可！

注意任何情况下，都不可以企图直接以图片后缀(.jps/.png/.gif/.jepg)命名文件并上传，这类文件里即使包含 html 代码或者 js 代码，其代码也不会被任何浏览器解析的！

作者：TrueBW

如有侵权请联系删除

责任编辑：