文件上传漏洞总结
什么是文件上传漏洞
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。
文件上传流程
通常一个文件以 HTTP 协议进行上传时,将以 POST 请求发送至 web 服务器
web 服务器接收到请求后并同意后,用户与 web 服务器将建立连接,并传输 data
而一般一个文件上传过程中的检测如下图红色标记部分
常见文件上传检测以及绕过
客户端 javascript 检测 (通常为检测文件扩展名)
这类检测通常在上传页面里含有专门检测文件上传的 javascript 代码,最常见的就是检测扩展名是否合法
绕过方式:
1 前端修改允许的类型
2 burp抓包修改
3 禁用javascript(例如火狐浏览器就有禁用JS功能)
服务端检测绕过(MIME 类型检测)
主要是检测Content-Type: 字段
绕过方法:
burp抓包修改Content-Type: 为允许的字段
Content-Type: image/gif
Content-Type: image/png
Content-Type: image/jpeg
(我曾经看到过一个博客,他上传的文件会给你重命名后缀,好像就是检测的Content-Type,通过修改这个成php,最后他成功上传了php文件)
服务端检测绕过(文件扩展名检测)
黑名单检测,黑名单的安全性比白名单的安全性低很多,攻击手法自然也比白名单多
一般有个专门的 blacklist 文件,里面会包含常见的危险脚本文件
绕过方法:
1 文件名大小写绕过
用像 AsP,pHp 之类的文件名绕过黑名单检测
2 名单列表绕过
用黑名单里没有的名单进行攻击,比如黑名单里没有 asa 或 cer 之类
3 特殊文件名绕过
比如发送的 http 包里把文件名改成 test.asp. 或 test.asp_(下划线为空格),这种命名方式
在 windows 系统里是不被允许的,所以需要在 burp 之类里进行修改,然后绕过验证后,会
被 windows 系统自动去掉后面的点和空格,但要注意 Unix/Linux 系统没有这个特性。
4 htaccess 文件
配合名单列表绕过,上传一个自定义的.htaccess,就可以轻松绕过各种检测
5 写入方法
首先名字为1.php:jpg,会写入一个1.php的空文件,然后再上传一个文件,然后修改名字为3.<<<
这样就会把我们这个文件的内容写入到我们上传的那个1.php空文件中
参考:https://www.waitalone.cn/php-windows-upload.html
6 00截断绕过上传
1.php .jpg 空格二进制20改为00
还有一些图片木马之类的,需要结合文件包含漏洞来解析。
文件头检测
iis解析漏洞
1 目录解析
以*.asp命名的文件夹里的文件都将会被当成ASP文件执行。
2 文件解析
*.asp;.jpg 像这种畸形文件名在“;”后面的直接被忽略,也就是说当成 *.asp文件执行。
IIS6.0 默认的可执行文件除了asp还包含这三种 *.asa *.cer *.cdx
3 默认解析
.asp .aspx .ashx .asa .cer这是系统默默认的后缀名
Apache解析漏洞
Apache 是从右到左开始判断解析,如果为不可识别解析,就再往左判断。比如xxx.php.rar对apache来说rar是不可解析的,所以就会解析成xxx.php
nginx解析漏洞
开启cgi:SCRIPT_NAME FASTCGI:
www.xx.com/a.jpg/.php(任何不存在文件)-----可以解析为.php文件
a.jpg:<?php phpinfo();?>
a.php%00.jpg----解析为a.php
修复建议
上传文件的存储目录禁用执行权限
文件的后缀白名单,注意0x00截断攻击
不能有本地文件包含漏洞
及时修复web上的代码
升级web server
不是很全,但是基本的应该就有了。
