【文件上传绕过】——条件竞争漏洞

一、实验目的：

1、通过代码审计学习造成条件竞争漏洞的成因。
2、通过upload-labs闯关游戏(Pass-17)闯关游戏，学会条件竞争漏洞利用技巧。

二、工具：

火狐/谷歌浏览器
burpsuite

三、实验环境：

靶 机： windows10虚拟机：192.168.100.150
      upload-labs-master闯关游戏
      phpstudy2018搭建网站

攻击机： 物理机

四、漏洞原理：

  条件竞争漏洞是一种服务器端的漏洞，由于服务器端在处理不同用户的请求时是并发进行的，因此，如果并发处理不当或相关操作逻辑顺序设计的不合理时，将会导致此类问题的发生。

  上传文件源代码里没有校验上传的文件，文件直接上传，上传成功后才进行判断：如果文件格式符合要求，则重命名，如果文件格式不符合要求，将文件删除。
  由于服务器并发处理(同时)多个请求，假如a用户上传了木马文件，由于代码执行需要时间，在此过程中b用户访问了a用户上传的文件，会有以下三种情况：
  1.访问时间点在上传成功之前，没有此文件。
  2.访问时间点在刚上传成功但还没有进行判断，该文件存在。
  3.访问时间点在判断之后，文件被删除，没有此文件。`

五、实验过程：

页面源码：

$is_upload = false;
$msg = null;   //判断文件上传操作

if(isset($_POST['submit'])){  //判断是否接收到这个文件
    $ext_arr = array('jpg','png','gif');  //声明一个数组，数组里面有3条数据，为：'jpg','png','gif'
    $file_name = $_FILES['upload_file']['name'];  //获取图片的名字
    $temp_file = $_FILES['upload_file']['tmp_name']; //获取图片的临时存储路径
    $file_ext = substr($file_name,strrpos($file_name,".")+1); //通过文件名截取图片后缀
    $upload_file = UPLOAD_PATH . '/' . $file_name; //构造图片的上传路径，这里暂时重构图片后缀名。

    if(move_uploaded_file($temp_file, $upload_file)){ //这里对文件进行了转存
        if(in_array($file_ext,$ext_arr)){ //这里使用截取到的后缀名和数组里面的后缀名进行对比
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;  //如果存在，就对文件名进行重构
             rename($upload_file, $img_path);  //把上面的文件名进行重命名
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件！"; //否则返回"只允许上传.jpg|.png|.gif类型文件！"数据。
            unlink($upload_file);// 并删除这个文件
        }
    }else{
        $msg = '上传出错！';
    }
}

代码处理流程：声明一个数组，保存着允许上传的文件类型-->获取文件名和文件临时存储路径-->截取文件名-->构造文件上传后的存储路径-->对文件进行转存-->比对白名单，如果存在就对文件进行重命名-->否则就删除文件。
通过上面代码我们发现：
  服务器先通过move_uploaded_file函数把文件保存了，然后再去判断后缀名是否合法，合法就重命名，如果不合法再删除。重点在于，在多线程情况下，就有可能出现还没处理完，我们就访问了原文件，这样就会导致防护被绕过。
  我们上传一个文件上去，后端会检验上传文件是否和要求的文件是否一致。如果不能达到要求就会删除文件，如果达成要求就会保留，那么当我们上传文件上去的时候，检测是否到达要求需要一定的时间，这个时间可长可短，但是我们确确实实在某一刻文件已经上传到了指定地址，并且访问到这个文件。这时候就会造成条件竞争。

1. 场景：

条件竞争场景：
  营造10000人同时上传文件1.php，另外有10000人在同时访问这个1.php；上传文件时，这个文件会有一段时间留存在服务器的上传目录下，而服务器脚本在进行判断文件是否合法而对文件进行删除时，会有一定的处理时间，可能在某个时间里，服务器还未来得及删除文件，从而导致我们对这个上传文件成功访问。

2. 实验步骤：

创建一个1.php的文件：

内容：
注：这个文件的作用就是，在访问到这个文件后，这个文件会在服务器的当前目录下创建一个test.php的，内容为<?php phpinfo();?>。

<?php 
$f= fopen ("test.php","w") ;
fputs ($f,'<?php phpinfo();?>');
?>

营造10000人上传1.php的场景：
上传上面新建的1.php文件：

使用burpsuite进行抓包，拦截代理流量，并把拦截到的数据包发送到Intruder模块：

在报文头后加&a=1，将1选中：

营造10000人访问1.php的场景：
同时新建页面，访问1.php这个文件：

放掉前面拦截的流量：

将拦截到的访问1.php流量发送到Intruder模块：

在报文头后加?a=1并将1选中：

都选择类型为Numbers的字典，数量为10000:

然后将线程都调到20:

点击Start attack执行攻击：

查看访问的攻击流量响应包里出现200:

查看服务器目录，发现成功创建test.php文件：

可以成功访问解析通过脚本创建的test.php文件: