一、实验目的:
1、通过代码审计学习造成条件竞争漏洞的成因。
2、通过upload-labs闯关游戏(Pass-17)
闯关游戏,学会条件竞争漏洞利用技巧。
二、工具:
火狐/谷歌浏览器
burpsuite
三、实验环境:
靶 机: windows10虚拟机:
192.168.100.150
upload-labs-master
闯关游戏
phpstudy2018
搭建网站
攻击机: 物理机
四、漏洞原理:
条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。
上传文件源代码里没有校验上传的文件,文件直接上传,上传成功后才进行判断:如果文件格式符合要求,则重命名,如果文件格式不符合要求,将文件删除。
由于服务器并发处理(同时)多个请求,假如a用户
上传了木马文件,由于代码执行需要时间,在此过程中b用户
访问了a用户
上传的文件,会有以下三种情况:
1.访问时间点在上传成功之前,没有此文件。
2.访问时间点在刚上传成功但还没有进行判断,该文件存在。
3.访问时间点在判断之后,文件被删除,没有此文件。`
五、实验过程:
页面源码:
$is_upload = false;
$msg = null; //判断文件上传操作
if(isset($_POST['submit'])){ //判断是否接收到这个文件
$ext_arr = array('jpg','png','gif'); //声明一个数组,数组里面有3条数据,为:'jpg','png','gif'
$file_name = $_FILES['upload_file']['name']; //获取图片的名字
$temp_file = $_FILES['upload_file']['tmp_name']; //获取图片的临时存储路径
$file_ext = substr($file_name,strrpos($file_name,".")+1); //通过文件名截取图片后缀
$upload_file = UPLOAD_PATH . '/' . $file_name; //构造图片的上传路径,这里暂时重构图片后缀名。
if(move_uploaded_file($temp_file, $upload_file)){ //这里对文件进行了转存
if(in_array($file_ext,$ext_arr)){ //这里使用截取到的后缀名和数组里面的后缀名进行对比
$img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext; //如果存在,就对文件名进行重构
rename($upload_file, $img_path); //把上面的文件名进行重命名
$is_upload = true;
}else{
$msg = "只允许上传.jpg|.png|.gif类型文件!"; //否则返回"只允许上传.jpg|.png|.gif类型文件!"数据。
unlink($upload_file);// 并删除这个文件
}
}else{
$msg = '上传出错!';
}
}
代码处理流程:声明一个数组,保存着允许上传的文件类型-->获取文件名和文件临时存储路径-->截取文件名-->构造文件上传后的存储路径-->对文件进行转存-->比对白名单,如果存在就对文件进行重命名-->否则就删除文件
。
通过上面代码我们发现:
服务器先通过move_uploaded_file函数
把文件保存了,然后再去判断后缀名是否合法,合法就重命名,如果不合法再删除。重点在于,在多线程情况下,就有可能出现还没处理完,我们就访问了原文件,这样就会导致防护被绕过。
我们上传一个文件上去,后端会检验上传文件是否和要求的文件是否一致。如果不能达到要求就会删除文件,如果达成要求就会保留,那么当我们上传文件上去的时候,检测是否到达要求需要一定的时间,这个时间可长可短,但是我们确确实实在某一刻文件已经上传到了指定地址,并且访问到这个文件。这时候就会造成条件竞争。
1. 场景:
条件竞争场景:
营造10000人
同时上传文件1.php
,另外有10000人
在同时访问这个1.php
;上传文件时,这个文件会有一段时间留存在服务器的上传目录下,而服务器脚本在进行判断文件是否合法而对文件进行删除时,会有一定的处理时间,可能在某个时间里,服务器还未来得及删除文件,从而导致我们对这个上传文件成功访问。
2. 实验步骤:
创建一个1.php
的文件:
内容:
注:这个文件的作用就是,在访问到这个文件后,这个文件会在服务器的当前目录下创建一个test.php
的,内容为<?php phpinfo();?>
。
<?php
$f= fopen ("test.php","w") ;
fputs ($f,'<?php phpinfo();?>');
?>
营造10000人
上传1.php
的场景:
上传上面新建的1.php
文件:
使用burpsuite
进行抓包,拦截代理流量,并把拦截到的数据包发送到Intruder模块
:
在报文头后加&a=1
,将1
选中:
营造10000人
访问1.php
的场景:
同时新建页面,访问1.php
这个文件:
放掉前面拦截的流量:
将拦截到的访问1.php
流量发送到Intruder模块
:
在报文头后加?a=1
并将1
选中:
都选择类型为Numbers
的字典,数量为10000
:
然后将线程都调到20
:
点击Start attack
执行攻击:
查看访问的攻击流量
响应包里出现200
:
查看服务器目录,发现成功创建test.php
文件:
可以成功访问解析通过脚本创建的test.php
文件: