文件上传漏洞 Upload-lab 实践(中)| 青训营

漏洞危害

文件上传漏洞的危害非常严重,攻击者通过利用这类漏洞可以对受影响的Web应用程序造成严重的后果。文件上传漏洞的主要危害有:

  1. 远程代码执行:文件上传漏洞可能导致远程代码执行,这意味着攻击者可以在服务器上执行任意恶意代码。通过上传包含恶意代码的文件,攻击者可以在服务器端执行系统命令,完全控制目标服务器。这样的攻击可能导致服务器崩溃、敏感数据泄露、用户信息被窃取等严重后果。
  2. 服务器控制:通过上传恶意文件,攻击者可以获取对服务器的非授权访问,进而完全控制服务器。攻击者可以修改服务器配置、删除重要文件、安装后门、远程访问服务器等,对服务器进行长期控制。
  3. 数据泄露:攻击者可以上传恶意脚本或web shell,通过执行脚本获取服务器上的敏感数据,如数据库信息、用户凭据、用户个人信息等。泄露敏感数据可能导致隐私泄露、用户信任受损等问题。
  4. 网站篡改:攻击者可以上传恶意文件,修改网站内容,展示虚假信息或广告,损害网站的声誉和可信度。
  5. 恶意传播:攻击者可以上传恶意文件,将Web应用程序作为恶意文件的传播媒介,通过操纵上传文件在其他用户间传播恶意内容。
  6. 服务拒绝:攻击者可以通过上传大量文件或恶意文件,占用服务器资源,导致服务器性能下降,甚至服务拒绝,影响正常用户的访问。
  7. 网站黑名单:当攻击者使用Web应用程序上传恶意文件或执行违法活动时,Web应用程序的IP地址可能会被列入黑名单,导致其无法正常访问其他网站或服务。

综上所述,文件上传漏洞的危害严重,可能导致服务器受到完全控制、数据泄露、网站篡改、服务拒绝等问题。

修护思路

修复文件上传漏洞是保障Web应用程序安全的重要措施。修复文件上传漏洞的一些主要思路和建议有:

  1. 文件类型验证:在接收上传文件时,对文件类型进行验证是非常重要的。开发者应该明确指定允许上传的文件类型,并严格校验上传文件的MIME类型,而不仅仅依赖于文件的扩展名来判断文件类型。可以使用白名单的方式,只允许特定的文件类型通过验证。
  2. MIME类型验证:除了验证文件类型,还应该对文件的MIME类型进行验证。攻击者可能会伪造请求头中的Content-Type字段,欺骗服务器,因此服务器应该对上传文件的MIME类型进行独立验证,确保其与文件实际内容相符。
  3. 文件名安全处理:不应该将用户上传的文件名直接用于保存文件,而是对文件名进行安全处理。最好使用随机生成的文件名,并确保文件名不包含特殊字符和路径分隔符,以防止目录遍历攻击。
  4. 禁止执行权限:上传的文件应该被存储在不可执行的目录下,确保恶意文件不会被执行。对于上传的图片等非可执行文件,最好禁止其执行权限。
  5. 病毒扫描:在接收上传文件后,对文件进行病毒扫描是一种有效的安全措施。可以使用常见的病毒扫描引擎对上传的文件进行扫描,确保不会上传含有病毒或恶意代码的文件。
  6. 安全的存储位置:上传的文件应该存储在非Web可访问目录下,防止攻击者直接访问上传的文件。开发者可以在配置文件中指定存储目录,并确保Web服务器没有权限直接访问该目录。
  7. 后端验证:不仅仅依赖前端的验证,后端服务器也应该对上传文件进行验证。即使前端验证被绕过,后端也能进行有效的检查和过滤。
  8. 定期检查:定期检查服务器上的上传文件,及时发现异常或可疑文件,并进行处理。删除不必要的上传文件,确保服务器的安全性。
  9. 安全上传组件:使用经过安全测试和验证的上传组件或库,这些组件通常会提供更多的安全特性和选项,有助于预防文件上传漏洞。
  10. 安全审计:进行安全审计,定期对Web应用程序进行安全测试和漏洞扫描,及时发现并修复潜在的文件上传漏洞。

​ 修复文件上传漏洞需要综合多种措施,从前端到后端,从验证到存储,确保上传文件的安全性和合法性。开发者应该重视文件上传功能的安全性,并在设计和实现过程中遵循安全最佳实践。定期对Web应用程序进行安全审计和漏洞扫描,及时修复潜在的漏洞,保障Web应用程序的安全性。

漏洞利用过程

第五关

php 复制代码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

可以发现禁止上传了 .htaccess 文件,查看提示,上传目录存在php文件(readme.php)。也就是上传目录下已经有 PHP 文件了。

因为 .ini 后缀的文件可以上传,所以我们可以上传一个.user.ini文件来改变服务器配置。

具体方法:上传一个.user.ini,再上传一个图片马,包含起来进行getshell。不过前提是含有 .user.ini 的文件夹下需要有正常的php文件,否则也不能包含了(正常的文件即本身自带的 readme.php)。

.user.ini是一个PHP配置文件,用于在特定目录中配置和覆盖PHP的运行时设置。该文件类似于.htaccess文件,但是作用范围更为局限,只对所在目录及其子目录生效。.user.ini文件可以包含一系列PHP配置指令,用于修改PHP运行时的各种设置。

ini 复制代码
auto_prepend_file = shell.png

auto_prepend_file是一个PHP配置指令,用于指定一个在每个PHP文件执行之前自动包含的文件。在这里,shell.png是被指定的文件名,意味着在每个PHP文件执行之前,PHP会自动包含shell.png这个文件。

这样的配置可能是一个文件包含漏洞的后果,攻击者可能成功地上传一个伪装成图片的恶意PHP脚本,然后通过.user.ini文件中的指令,让PHP在每个执行的PHP文件之前都自动包含该文件。这样,恶意代码将被执行,并可能导致远程代码执行或其他安全问题。

第一步:首先上传一个 .user.ini 文件

第二步:然后再上传一个一句话木马文件,名字需要与 .user.ini 配置的文件名相同


图 5-1. 成功上传并执行

第六关

php 复制代码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空

        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

经过与第五关对比我们发现没有过滤大小写

缺少代码

php 复制代码
$file_ext = strtolower($file_ext); //转换为小写

将文件后缀名改为 .Php 绕过。


图 6-1. 抓包修改


图 6-2. 成功上传并执行

第七关

php 复制代码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = $_FILES['upload_file']['name'];
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file,$img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件不允许上传';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

没有进行首尾去空

缺少代码

php 复制代码
$file_ext = trim($file_ext); //首尾去空

我们可以进行空格绕过,修改后缀名为 .php[空格]

空格绕过修改文件后缀名为 .php 的原理是利用文件系统对文件名的解析方式。在某些文件系统中,如果文件名包含空格,空格后的内容将被视为文件名的一部分,而不会被视为后缀名。这就意味着,当文件名包含空格并以 .php 结尾时,服务器可能会将其当作 .php 文件来解析,从而执行其中的 PHP 代码。


图 7-1. 抓包修改


图 7-2. 成功上传并执行

第八关

php 复制代码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

缺少代码

php 复制代码
 $file_name = deldot($file_name)

没有删除文件名末尾后的点

所以进行点绕过。

修改文件后缀名为 .php.

修改文件后缀名为 .php. 利用的是某些操作系统和Web服务器的解析机制。在一些操作系统和服务器配置中,当文件名以 .php. 结尾时,服务器可能会将其当作 .php 文件来解析,而忽略掉后面的多余点号。

假设一个Web应用程序允许用户上传图片文件,并对文件名进行简单的验证,只检查是否以 .jpg.png 等图片后缀名结尾。攻击者可以上传一个名为 image.jpg 的图片文件,而不会被拦截。然后,攻击者在文件名后面添加多余的点号和 .php,即 image.jpg..php,这样文件名看起来仍然是 image.jpg,但实际上是 image.jpg..php。由于服务器可能会忽略掉后面的多余点号,因此它可能会将该文件当作 .php 文件来解析。


图 8-1. 抓包修改


图 8-2. 成功上传并执行

第九关

php 复制代码
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array(".php",".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = trim($file_ext); //首尾去空
        
        if (!in_array($file_ext, $deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH.'/'.date("YmdHis").rand(1000,9999).$file_ext;
            if (move_uploaded_file($temp_file, $img_path)) {
                $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        } else {
            $msg = '此文件类型不允许上传!';
        }
    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';
    }
}

缺少代码

php 复制代码
$file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA

上传后缀名添加::$DATA

::$DATA是一个流传输,可以把后面的数据当成流处理和.空格类似。在某些操作系统中,如果在文件名后添加 "::$DATA",系统会将它视为一个特殊的数据流,而不是文件的一部分。例如,Windows操作系统中的NTFS文件系统支持使用 "::$DATA" 表示一个特殊的数据流,这种数据流通常不会被用户直接访问。而在一些Web服务器中,可能没有对上传文件名进行严格的处理,导致可以通过在文件名后添加 "::$DATA\" 来绕过文件类型检查。


图 9-1. 抓包修改


图 9-2. 成功上传并执行

相关推荐
wml5 小时前
前端实践-使用React实现简单代办事项列表 | 豆包MarsCode AI刷题
青训营笔记
用户44710308932421 天前
详解前端框架中的设计模式 | 豆包MarsCode AI刷题
青训营笔记
用户5836838006761 天前
学习笔记22《易速鲜花聊天客服机器人的开发(上)》
青训营笔记
用户285620017131 天前
寻找观光景点组合的最高得分| 豆包MarsCode AI 刷题
青训营笔记
用户48486281292222 天前
LangChain启程篇 | 豆包MarsCode AI刷题
青训营笔记
用户1538734266802 天前
前端框架中的设计模式解析
青训营笔记
努力的小Qin4 天前
小T的密码变换规则(青训营X豆包MarsCode) | 豆包MarsCode AI 刷题
青训营笔记
liangxiu4 天前
CSS布局技巧汇总| 豆包MarsCode AI刷题
青训营笔记
夭要7夜宵12 天前
Go 垃圾回收 | 豆包MarsCode AI刷题
青训营笔记
末班车42212 天前
前端框架中的设计模式 | 豆包MarsCode AI刷题
青训营笔记