不安全的文件下载原理和案例展示 ,不安全的文件上传原理及客户端绕过案例,上传漏洞之MIME type 验证原理和绕过
一、不安全的文件下载原理和案例展示
文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。
此时如果 攻击者提交的不是一个程序预期的的文件名,而是一个精心构造的路径(比如…/…/…/etc/passwd),则很有可能会直接将该指定的文件下载下来。 从而导致后台敏感信息(密码文件、源代码等)被下载。
所以,在设计文件下载功能时,如果下载的目标文件是由前端传进来的,则一定要对传进来的文件进行安全考虑。 切记:所有与前端交互的数据都是不安全的,不能掉以轻心!
你可以通过“Unsafe file download”对应的测试栏目,来进一步的了解该漏洞。
我们切换到pikachu进行演示
我们随便点击下载一个
这是一个正常的功能
但是在我们点击这个下载连接的时候
我们可以看到 当我们点击下载时,将kb.png这个filename传给后台,后台再读取显示到前端
如果后端处理的不严格,就会出现这种漏洞
我们可以输入…/…/…/…/…/…/…/…/…/…/…/…/ 用很多…/回到根目录下
就可以直接把文件下载下来
这样passwd文件就被下载下来
后端代码:
通过a标签来下载图片
通过filename再download中去寻找
这个漏洞产生原因是,不会去判断前端传输的文件是否存在,没有设定搜索下载的范围
二、不安全的文件上传原理及客户端绕过案例
文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。
所以,在设计文件上传功能时,一定要对传进来的文件进行严格的安全考虑。比如:
–验证文件类型、后缀名、大小;
–验证文件的上传方式;
–对文件进行一定复杂的重命名;
–不要暴露文件上传后的路径;
–等等…
你可以通过“Unsafe file upload”对应的测试栏目,来进一步的了解该漏洞。
上传思路:
我们打开pikachu进行演示
我们先尝试型的上传一个php文件看看会发生什么
直接通过前端弹出了这个框 我们审计一下代码
当状态改变的时候就会去调用checkfileExt
这个完全是通过前端进行限制,只能起到复制性作用
我们可以把onchange后面的函数删掉
我们再试着上传一下
上传成功,这样就不会弹出不符合要求
我们复制一下这个路径
uploads/yijuhua.php
127.0.0.1/pikachu/vul/unsafeupload/uploads/yijuhua.php?x=ipconfig
通过x去传一个ipconfig的命令
这里我们就绕过了限制,上传了一个PhP文件
三、上传漏洞之MIME type 验证原理和绕过
MIME介绍:
-$_FILES()函数
我们打开pikachu
我们先上传一张正常的图片
显示成功
我们再上传一个php文件
没有成功
后台源码:
我们现在来进行一下绕过
我们先上传一个正常的图片 在上传一个php文件
我们进行抓包并回到bp中找到上传成功的POST请求
而我们上传的php
我们把这个POST发送到repeater中
我们可以把这个content-type修改掉
我们在点击GO 进行提交 看一下返回结果
文件上传成功