网安学习笔记-1 文件上传

文件上传漏洞初步认识

1. 什么是文件上传漏洞

• 指程序对文件的上传未作全面的限制，导致用户可以上传一些超越用户权限的一些文件，可以是木马，shell脚本，病毒等

2. 文件上传漏洞的危害

• 可以通过文件上传漏洞上传wbeshell后门

3. 文件上传漏洞的查找及判断

• 基本分类
  常规类：扫描获取上传（敏感文件扫描）
  会员中心上传
  后台系统上传
  各种途径上传
  CMS类：已知CMS源码
  编辑器类：ckeditor、fckeditor、 kindeditor、xxxeditor等
  其他类/CVE：代码审计、平台/三方应用等
• 黑盒（源码不知道）：使用扫描工具扫描打开网站
• 黑盒：测试会员中心，测试后台
• 白盒：直接看源代码

4. 文件上传漏洞需要注意的地方

• 对漏洞类型进行准确分类，抓包测试

5. 关于文件上传漏洞在实际应用中的说明

• 上传后门脚本获取网络权限

---

五个案例

1. 常规文件上传地址的获取说明：上传的文件要执行的话，要按照对应代码执行
2. 不同格式下的文件类型后门测试
3. 配合解析漏洞下的·文件类型后门测试本地文件：上传+解析漏洞=高危漏洞
4. 上传漏洞靶场环境搭建
5. 测试某CMS及CVE编号文件上传漏洞测试：这是第三方插件的漏洞测试和常规漏洞测试是不一样的

---

文件上传常见验证：
后缀名，类型，文件头等
后缀名：黑名单、白名单
黑名单：明确不许上传的格式后缀
asp、php、jsp、aspx、cpi、war
白名单：明确可以上传的格式后缀
jpg、png、zip、rar、gif
文件类型：MIME信息
文件头：内容头信息、
方法：查看源码、抓包修改包信息
%00截断：可以把这个放在文件名内，绕过检测。
get：会自动解码
post：不会自动解码，所以想以post提交数据%00需要把它进行url编码变成%25%30

---

验证绕过

1. 黑名单

• 特殊解析后缀
• htaccsee
• 大小写绕过
• 点绕过
• 空格绕过
• ::$$DATA绕过
• 配合解析漏洞绕过
• 双后缀名绕过

2.白名单

• MIME绕过
• 截断
• 0x00截断
• 0x0a截断

3. 内容及其他

• 文件头检测
• 二次渲染
• 条件竞争
• 突破getimagesize

---

漏洞修复

1. 解析漏洞

• IIS6/7 X
• Apache
• Nginx

2.CMS漏洞——某CMS上传
3.编译器漏洞
4.CVE漏洞

---

靶场
资源：https://github.com/c0ny1/upload-labs/releases
Pass-1（前端验证）

上传“1.php（即为图片中的’一句话.php’）”
1.php:
<?php @eval($POST['123'];?>

因为是前端js校验，因此可以直接使用禁用js
或者用burp抓包修改文件类型（将上传文件一句话.php改为一句话.jpg后继续上传）

发包成功后用蚁剑连接

连接成功！
Pass-2 后端MIME验证
观察源码

可以得出此关卡与Content-type进行判断，所以只需要在burpsuite中修改Content-type为允许的类型即可

上传成功后用蚁剑连接
Pass-3 黑名单验证

结合源码得此题禁止上传.asp|.aspx|.php|.jsp后缀文件。
尝试进行拓展名绕过，可以尝试phtml，php3,php4,php5后缀名绕过，但前提是上传目标服务器搭建有apache平台，否则无法解析phtml,php3，php4，php5的格式
修改后缀名后上传后抓包修改后缀名为.php。Pass-4 黑名单验证

观察源码得此题几乎禁用所有格式，但未禁用.htaccess
.htaccess文件是Apache服务器的一个配置文件，它负责相关目录下的网页配置。通过.htaccess文件，可以实现：网页301重定向、自定义404页面、改变文件拓展名、允许/阻止特定的用户或者目录的访问、禁止目录访问、配置默认文档等功能
上传内容为一下代码的文件，双引号内为你要上传的文件名。
<FilesMatch "jpg"> SetHandler application/x-httpd-php </FilesMatch>
但是这个后缀名使用的前提是我们要在apache的httpd.conf中将LoadModule rewrite_module modules/mod_rewrite.so打开还有AllowOverride All

将该行前面的“#”去除即可打开LoadModule rewrite_module modules/mod_rewrite.so

先上传 .htaccess ，上传成功后再上传pass-1的1.jpg文件，1.jpg文件上传后抓包修改后缀名为1.php，发包上传即可，成功后用蚁剑连接
Pass-5 大小写绕过

上传.hatccess文件，显示此文件类型不允许上传！说明此文件类型被过滤。
分析代码发现第五关相对于第四关少了strtolower函数（ 将字符串转化为小写)，这说明可以尝试大小写绕过
尝试修改后缀名为.Php，发现上传成功
Pass-6空格绕过

分析代码发现相比于前两关，少了trim函数(首尾去空)，所以我们可以尝试采取空格绕过
所以我们可以尝试修改后缀名为.php (点+php+空格)绕过
Pass-7 点绕过

相比于前两关，本关少了deldot函数（删除文件名末尾的点），利用windows特性，会自动去掉后缀名中最后的点，所以我们可以尝试修改后缀名为.php.（点+php+点）绕过
Pass-8::$DATA绕过

相比于前两关，本关少了str_ireplace函数(去除字符串::$DATA)
而如果文件名+::$DATA会把::$DATA之后的数据当成文件流处理,不会检测后缀名.且保持::$DATA之前的文件名。利用windows特性，可在后缀名中加::$DATA绕过。

Pass-9点+空格+点+空格绕过

分析代码得代码先是去除文件名前后的空格，再去除文件名最后所有的.，再通过strrchar函数来寻找.来确认文件名的后缀，但是最后保存文件的时候没有重命名而使用的原始的文件名，导致可以利用1.php. .（点+空格+点）来绕过

Pass-10双写绕过

分析代码得str_ireplace(将黑名单里的后缀名替换为空且只替换一次)因此可以利用双写绕过
上传.php文件验证

修改后缀名后成功上传

Pass-11 00截断

分析代码得
strrpos — 计算指定字符串在目标字符串中最后一次出现的位置
substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1)：取出.后面的后缀名，防止…绕过
$img_path = ${}_{G}ET{[}^{\prime }sav{e}_{p}at{h}^{\prime }]."/".rand(10,99).date("YmdHis").".".$file_ext：save_path的组成
白名单判断，$img_path直接拼接，因此可以利用%00截断绕过。
但是截断条件为：php版本小于5.3.4，php的magic_quotes_gpc为OFF状态



成功绕过
Pass-12 00截断

save_path参数通过POST方式传递，还是利用00截断，因为POST不会像GET对%00进行自动解码，所以需要在二进制中进行修改。


修改编码

上传成功
Pass-13 图片马绕过