不安全文件上传学习

文件上传功能在web应用系统很常见，比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后，后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等，然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨，则攻击着可能会上传一些恶意的文件，比如一句话木马，从而导致后台服务器被webshell。
所以，在设计文件上传功能时，一定要对传进来的文件进行严格的安全考虑。比如：
–验证文件类型、后缀名、大小;
–验证文件的上传方式;
–对文件进行一定复杂的重命名;
–不要暴露文件上传后的路径;
–等等…

除了可执行文件外，还有以下几个潜在的问题。
文件名
用户上传的文件里有两个东西经常会被程序使用，一个是文件本身，还有一个就是文件名了。如果文件名被用来读取或者存储内容，那么你就要小心了。攻击者很有可能会构造一个类似 …/…/…/attack.jpg 的文件名，如果程序没有注意直接使用的话很有可能就把服务器的关键文件覆盖导致程序崩溃，甚至更有可能直接将 /etc/passwd 覆盖写上攻击者指定的密码从而攻破服务器。

有些同学可能会说了，/ 等字符是文件名非法字符，用户是定义不了这种名字的。你说的没错，但是我们要知道我们并不是直接和用户的文件进行交互的，而是通过 HTTP 请求拿到用户的文件。在 HTTP 表单上传请求中，文件名是作为字符串存储的。只要是合法的 HTTP 请求格式，攻击者可以构造请求中的任何内容用于提交给服务器。

HTML 和 SVG
虽然说 Node.js 在文件上传服务端可执行程序的漏洞没有 PHP 那么高，但是除了服务端可执行之外我们还有客户端可执行问题，所以还是要做好防备。假设用户可以上传任意格式的文件，而如果攻击者上传了 HTML 文件后可以配合 CSRF 攻击进一步制造 XSS 攻击。

如果你是一个图片上传的接口，如果你仅限制 HTML 格式的话也存在问题，因为图片中有一种特别的存在是 SVG 格式。SVG 是一种矢量图形格式，它使用 XML 来描述图片，在其内部我们是可以插入 ,

软链
我们知道在操作系统中软链本质上也是一种文件，只是这个文件中不包含实际的内容，它包含另外一个文件的路径名。可以是任意文件或目录，可以链接不同文件系统的文件。如果攻击者上传了一个软链文件，软链描述对应的是 /etc/passwd 的话，攻击者利用程序可以直接读取到服务器的关键文件内容，导致服务器被攻陷。

服务器磁盘
除了文件本身的问题之外，还有一种情况我们需要考虑到的是文件上传之后的处理。如果我们将用户上传的文件存储到了本地，而没有限制用户的上传频率的话，就很有可能被攻击者利用。攻击者会频繁的上传文件导致服务器磁盘占用 100%，撑爆服务器之后没办法处理程序的其它任务进而导致服务器宕机。

程序员在防止上传漏洞时可以分为以下两种。
客户端检测:客户端使用JavaScript检测，在文件未上传时，在前端就对文件进行验证:
服务器端检测:服务端脚本一般会检测文件的MIME类型，检测文件扩展名是否合法，甚至有些程序员检测文件中是否嵌入恶意代码。
前端检查比较简单，现在使用的比较少。

3.1 客户端检测绕过（javascript 检测）
首先观察到提示只允许上传图片文件，那么前端的查看代码，当页面发生改变时，会调用这个checkFileExt函数来检查上传的是不是图片，我们只需要在前端将checkFileExt函数删除，就能上传一个一个非图片文件。

3.2服务端验证绕过 （MIME 类型检测）
MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名，以及一些媒体文件打开方式。

每个MIME类型由两部分组成，前面是数据的大类别，例如声音audio、图象image等，后面定义具体的种类。

常见的MIME类型(通用型)：
超文本标记语言文本 .html text/html
xml文档 .xml text/xml
XHTML文档 .xhtml application/xhtml+xml
普通文本 .txt text/plain
RTF文本 .rtf application/rtf
PDF文档 .pdf application/pdf
Microsoft Word文件 .word application/msword
PNG图像 .png image/png
GIF图形 .gif image/gif
JPEG图形 .jpeg,.jpg image/jpeg
au声音文件 .au audio/basic
MIDI音乐文件 mid,.midi audio/midi,audio/x-midi
RealAudio音乐文件 .ra, .ram audio/x-pn-realaudio
MPEG文件 .mpg,.mpeg video/mpeg
AVI文件 .avi video/x-msvideo
GZIP文件 .gz application/x-gzip
TAR文件 .tar application/x-tar
任意的二进制数据 application/octet-stream

通过使用 PHP 的全局数组 $_FILES，你可以从客户计算机向远程服务器上传文件。
第一个参数是表单的 input name，第二个下标可以是 “name”, “type”, “size”, “tmp_name” 或 “error”。就像这样：
$_FILES[“file”][“name”] - 被上传文件的名称
$_FILES[“file”][“type”] - 被上传文件的类型
$_FILES[“file”][“size”] - 被上传文件的大小，以字节计
$_FILES[“file”][“tmp_name”] - 存储在服务器的文件的临时副本的名称
$_FILES[“file”][“error”] - 由文件上传导致的错误代码
详细可参考这里

分析代码逻辑：首先会获取到前端的提交请求，然后定义了一个数组（定义图片上传指定类型），然后通过upload_sick函数对上传的文件进行一定的检查。
分析upload_sick函数（定义在uploadfunction.php文件里面）存在漏洞的的原因是因为 $ _FILES() 这个全局的方法是通过浏览器http头去获取的content-type，content-type是前端用户可以控制的。容易被绕过。
上传一张正常的符合标准的图片，对其content-type进行抓包操作。可见正常上传符合要求的图片中数据包中content-type为image/png对比符合条件，而php文件则不符合条件返回文件类型错误。

语法格式：
array getimagesize ( string KaTeX parse error: Expected ‘EOF’, got ‘&’ at position 19: …ename [, array &̲imageinfo ] )

getimagesize() 函数将测定任何 GIF，JPG，PNG，SWF，SWC，PSD，TIFF，BMP，IFF，JP2，JPX，JB2，JPC，XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。

文件包含漏洞之文件上传漏洞利用
方法一：直接伪造头部GIF89A
方法二：CMD方法，copy /b test.png+1.php muma.png
https://blog.csdn.net/Ro_kin/article/details/75578711
方法三：直接使用工具增加备注写入一句话木马。

1 白名单
0x00截断或test.asp%00.jpg
MIME绕过https://blog.csdn.net/weixin_43915842/article/details/90111207

2 黑名单
(1）文件名大小写绕过

(2）名单绕过
用黑名单里没有的名单进行攻击，比如黑名单里没有.php|.php5|.php4|.php3|.php2|php1|.html|.htm|.phtml|.pHp|.pHp5|.pHp4|.pHp3|.pHp2|pHp1|.Html|.Htm|.pHtml|.jsp|.jspa|.jspx|.jsw|.jsv|.jspf|.jtml|.jSp|.jSpx|.jSpa|.jSw|.jSv|.jSpf|.jHtml|.asp|.aspx|.asa|.asax|.ascx|.ashx|.asmx|.cer|.aSp|.aSpx|.aSa|.aSax|.aScx|.aShx|.aSmx|.cEr|.sWf|.swf|.htaccess后缀文件之类
.
(3）特殊文件名或文件夹绕过(windows)
还有比如发送的http 包里把文件名改成test.asp. 或test.asp_(下划线为空格)，这种命名方式在windows 系统里是不被允许的，所以需要在burp 之类里进行修改，然后绕过验证后，会被windows 系统自动去掉后面的点和空格，但要注意Unix/Linux 系统没有这个特性。

(4）0x00截断
name = getname(http request) //假如这时候获取到的文件名是test.asp .jpg(asp 后面为0x00)
type = gettype(name) //而在gettype()函数里处理方式是从后往前扫描扩展名，所以判断为jpg
if (type == jpg)
SaveFileToPath(UploadPath.name, name) //但在这里却是以0x00 作为文件名截断
//最后以test.asp 存入路径里

(5）把文件名改成test.asp. 或test.asp_(下划线为空格)，这种命名方式在windows 系统里是不被允许的，所以需要在burp 之类里进行修改，然后绕过验证后，会被windows 系统自动去掉后面的点和空格，但要注意Unix/Linux 系统没有这个特性。

(6）双后缀名绕过

(7）::
D A T A 绕 过 是 W i n d o w s 下 N T F S 文 件 系 统 的 一 个 特 性 ， 即 N T F S 文 件 系 统 的 存 储 数 据 流 的 一 个 属 性 D A T A 时 ， 就 是 请 求 a . a s p 本 身 的 数 据 ， 如 果 a . a s p 还 包 含 了 其 他 的 数 据 流 ， 比 如 a . a s p : l a k e 2. a s p ， 请 求 a . a s p : l a k e 2. a s p : : DATA绕过 是Windows下NTFS文件系统的一个特性，即NTFS文件系统的存储数据流的一个属性 DATA 时，就是请求 a.asp 本身的数据，如果a.asp 还包含了其他的数据流，比如 a.asp:lake2.asp，请求 a.asp:lake2.asp::DATA绕过是Windows下NTFS文件系统的一个特性，即NTFS文件系统的存储数据流的一个属性DATA时，就是请求a.asp本身的数据，如果a.asp还包含了其他的数据流，比如a.asp:lake2.asp，请求a.asp:lake2.asp::DATA，则是请求a.asp中的流数据lake2.asp的流数据内容

IIS解析漏洞
Apache解析漏洞
.htaccess

配置文件LoadModule rewrite_module modules/mod_rewrite.so前的注释去掉，寻找关键词：AllowOverride，并把后面的参数从None全部改成All

Nginx解析漏洞
.htaccess文件解析
本地文件包含解析

针对文件上传漏洞的特点和必须具备的三个条件，我们阻断任何一个条件就可以达到组织文件上传攻击的目的：
1、最有效的，将文件上传目录直接设置为不可执行，对于Linux而言，撤销其目录的’x’权限；实际中很多大型网站的上传应用都会放置在独立的存储上作为静态文件处理，一是方便使用缓存加速降低能耗，二是杜绝了脚本执行的可能性；
2、文件类型检查：强烈推荐白名单方式，结合MIME Type、后缀检查等方式（即只允许允许的文件类型进行上传）；此外对于图片的处理可以使用压缩函数或resize函数，处理图片的同时破坏其包含的HTML代码；
3、使用随机数改写文件名和文件路径，使得用户不能轻易访问自己上传的文件；
4、单独设置文件服务器的域名；

大佬博客