实验环境
-
操作机:
Windows XP
- 目标机:
Windows 2003
- 目标网址:
www.test.com
- 目标机:
实验目的
- 掌握上传绕过服务端MIME的原理
- 掌握上传绕过服务端MIME的方法
实验工具
Burp Suite
: 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架,本次试验主要用到此软件的Proxy(代理)功能中国菜刀
:是一款专业的网站管理软件,用途广泛,使用方便,小巧实用。只要支持动态脚本的网站,都可以用中国菜刀来进行管理,本次试验主要用到其动态脚本管理功能
实验内容
MIME
MIME
:客户端软件,区分不同种类的数据,例如web浏览器就是通过MIME类型来判断文件是GIF图片,还是可打印的PostScript文件。web服务器使用MIME来说明发送数据的种类, web客户端使用MIME来说明希望接收到的数据种类。
MIME检测原理
服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法的。
php示例代码:
<?php
if($_FILES['userfile']['type'] != "image/gif") {
//检测Content-type
//当上传文件的type不为`image/gif`时,程序不执行文件保存操作,直接退出。
//当上传文件的type是`image/gif`时,程序跳出if语句,执行文件保存操作。
echo "Sorry, we only allow uploading GIF images";
exit;
}
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile))
{
echo "File is valid, and was successfully uploaded.\n";
echo "File path is ".$uploadfile;
}
else
{
echo "File uploading failed.\n";
}
?>
示例代码的功能是服务端用来处理文件上传的,在第二行中if语句对上传文件的type判断是否为image/gif
。
在代码中检测的type值,对应http包中的字段
Content-Type
的值,也就是所我们可以伪装上传文件的type值,来绕过服务端的MIME检测
实验步骤
步骤1:上传正常图片和一句话
快速查找实验工具
- 打开桌面
Everything
搜索工具,输入实验工具名称,右击选择“打开路径”,跳转实验工具所在位置。 - 以查找
BURP
为例为大家演示。
上传正常的图片以及上传一句话
,查看区别,准备一个普通的图片,使用*.jpg
在电脑上进行搜索,可以看到很多图片,复制一张图片放到桌面上,改名为tupian.jpg
。
打开上传地址,选取准备好的图片,上传图片。
小i提示:
- 上传地址就是可以上传文件的地方
- 本次实验用的是一个测试网址http://www.test.com 作为目标网站
上传成功后,观察返回的页面信息。
小i提示:
- 观察红字部分(上传是否成功)
- 观察蓝字部分(上传后文件的路径)
步骤2:修改MIME绕过上传检测
我们继续上传,在这之前开启浏览器代理进行抓包,查看正常图片的MIME值为多少:
使用BurpLoader
修改文件的类型来绕过其防御。首先打开BurpLoader,选择 Proxy
->Options
,设置BurpLoader
代理地址,默认为127.0.0.1
、端口:8080
。
设置IE的代理地址,勾选为 LAN 使用代理服务器,修改下面的代理地址以及端口(设置与在BurpLoader设置的代理地址相同:127.0.0.1
、端口:8080
)。
小i提示::
- 不同浏览器设置代理的方法不相同, 此处我们以IE浏览器为例,首先点击右上角的
工具
-internet选项
-连接
-局域网设置
-代理服务器
勾选并设置。
选择 BurpLoader 的 Proxy
->Intercept
将抓包的状态从关闭改为打开。
在浏览器上传PHP文件,回到BurpLoader
看到MIME信息(Content-type)为text/plain
。
我们将Content-type后的内容修改为image/jpg
这样服务器就会认为这是一个图片文件了,接下来关闭抓包按钮,这样就成功的绕过MIME验证。
步骤3:获取WEBShell权限
上传成功后,我们需要访问文件,这时可直接复制文件路径(File Name后面的内容,即是一句话
的路径),将复制的地址粘贴至网站地址后面,从而构造访问地址,并复制构造好的地址。
使用中国菜刀软件打开webshell地址
打开中国菜刀
软件并填入复制的访问地址,填入你设定的密码,这里设置的密码是1
,选择脚本类型为PHP
,单击添加
按钮,最后我们双击指定条目后的可以看到目标网站的目录,这样我们就成功获取到目标网站的WEBShell权限。
实验结果总结
- 文件上传功能本身没有错,只是在一些条件下会被攻击者利用,从而成为漏洞,根据攻击原理,有以下几点应该注意:
- 1:文件上传的目录设置为不可执行 只要web容器无法解析该目录下的文件,即使攻击者上传了脚本文件,服务器本身也不会受到影响,因此此点至关重要。实际中,很多大型网站的上传应用,文件上传后会放到独立的储存上,做静态处理。但对一些小应用,如果存在上传功能,则仍需要多加关注
- 2:判断文件类型: 判断文件类型时,应结合MIME Type、后缀检查等方式。推荐使用白名单,黑名单的方式已经无数次被证明不可靠。此外,针对图片处理,可以使用亚索函数或者resize函数,在处理图片的同事破坏掉图片中可能包含的HTML代码
- 3:使用随机数改写文件名和文件路径 文件上传如果要执行代码,则需要用户能够访问到这个文件。在某些环境中,用户能上传,但不能访问。如果应用使用随机函数改写了文件名和路径,将极大增加攻击成本。与此同时,像
1.php.rar.rar
、或者1.xml
这种文件,都因为文件名被改写而无法成功实施攻击
1、当页面返回“File Type Error”时,则说明你上传的文件类型不正确,网站对文件类型进行了相关验证。
- 对
- 错
A
第1题:Burpsuite默认端口是?
8081
8000
80
8080
d
第2题:下面的content-type那一个类型不能在本实验中能上传?
image/jpeg
image/png
image/jpg
image/gif
d
flag : key{h4d6j9k3}
第4题:以下哪个不是PHP一句话木马?
<?php phpinfo();?> <?php eval_r($_POST[sb])?> <?php assert($_POST[sb]);?>a