文件上传漏洞及安全

网安_秋刀鱼2024-10-28 21:50

文件上传

文件上传安全指的是攻击者通过利用上传实现后门的写入连接后门进行权限控制的安全问题,对于如何确保这类安全问题,一般会从原生态功能中的文件内容,文件后缀,文件类型等方面判断,但是漏洞可能不仅在本身的代码验证逻辑中出现安全问题,也会在语言版本,语言函数,中间件,引用的第三方编辑器等存在缺陷地方配合利用。另外文件上传也有多个存储逻辑,不同的文件存储方案也会给攻击者带来不一样的挑战!

靶场下载链接:

https://github.com/sqlsec/upload-labs-docker

前端JS检测绕过

由于只做了前端js校验,所以抓包绕过前端检验即可

.htaccess绕过(apache的解析配置文件)

.htaccess文件定义了哪个文件可以以脚本方式运行

<FilesMatch "^qaz*\.jpg$"> //文件匹配指令 匹配以qaz开头.jpg结尾的所有文件

SetHandler application/x-httpd-php //指定被匹配的文件按照php执行

MIME类型&文件头检测绕过

后端判断Content-Type字段 也就是MIME类型是否符合要求

不同后缀名的文件头都不一样

黑名单检测绕过

例如针对php后缀名做为黑名单,只有这个不能上传,其余都可以,这里可以尝试大小写绕过,冷门php3、php5等后缀名上传,或者黑盒的时候直接fuzz跑后缀名

字典下载:https://github.com/fuzzdb-project/fuzzdb

%00截断绕过

使用条件:

magic_quotes_gpc = Off

PHP版本小于5.3.4

url 上面 %00

post 下面 %00 然后url解码

逻辑不严谨-条件竞争

原理:

本来检测文件流程:用户上传 -> 服务器判断是否合规 -> 合规存储

错误逻辑:用户上传->服务器先存储->判断是否合规->不合规删除

这里就导致就算不合规,但是恶意文件在服务器停留了,这就可以实现条件竞争利用这个逻辑漏洞

先预知恶意文件路径,然后使用爆破模块疯狂请求

上传恶意文件内容:
<?php fputs(fopen('111.php','w'),'<?php eval($REQUEST1);?>');?>

一旦请求成功一次,就可以在同目录留下一个木马

二次渲染

后端语言会对图片进行二次渲染,让图片更好的呈现出来,但是这样就会造成一个图片里插入的脚本代码丢失的情况

先搞个正常图片,上传图片后导出渲染后的图片,然后对比

二进制对比

可以发现存在一直不变化的数据地方,将木马语句插入其中就行

move_uploaded_file函数缺陷

move_uploaded_file(temp_file, img_path)

$img_path可控的时候,还会忽略掉 $img_path后面的 /.

中间件解析漏洞

IIS

IIS 6 解析漏洞

该版本默认会将*.asp;.jpg 此种格式的文件名,当成Asp解析

该版本默认会将*.asp/目录下的所有文件当成Asp解析。

如:logo.asp;.jpg、xx.asp/logo.jpg

IIS 7.x 解析漏洞

在一个文件路径(/xx.jpg)后面加上/xx.php会将/xx.jpg/xx.php 解析为php文件

Apache

未知扩展名解析漏洞 <=2.4.23

不识别即向前解析(低版本2.4.23以下版本都可以)

例如.php.dsd dsd后缀名解析不了,则向前php解析

换行解析漏洞(CVE-2017-15715)2.4.0-2.4.29

条件:

  1. 符合漏洞版本2.4.0~2.4.29
  2. 有文件上传点
  3. 能够重命名上传文件

上传成功

多后缀解析漏洞(配置问题,比较少见,和版本无关)

Nginx

00截断 cve-2013-4547(Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7)

测试

解析漏洞(配置问题,比较少见,和版本无关)

编辑器上传漏洞

net.版本1.4.3文件上传

1、本地新建poc.html文件,文件内容如下,其中需将action修改成目标漏洞路径

shell addr:

2、制作aspx图片马上传至VPS并在所在目录启动http服务

3、打开poc.html后,输入vps的图片马地址,成功上传至目标服务器后,会返回webshell访问地址

4、使用Webshell管理工具连接指定地址即可成功连接webshell

文件上传安全

拒绝执行权限

文件上传的目录禁止执行权限,导致不能解析木马

绕过:

条件:

上传目录可控

上传目录可访问

控制上传目录到未被禁止执行权限的目录

解码还原

网站对上传的文件、图片以固定的data:image/png;base64, 传输解析数据

无法绕过

分站存储

将上传的文件存储到一台单独的服务器,一般该单独服务器是只拿来做存储使用,并且可能禁止执行权限,无法绕过

OSS存储

使用oss云存储服务,是第三方存储服务,一般遇到访问就下载文件,无法绕过

相关推荐
网络研究院19 分钟前
美国网络安全法律与实践
网络·安全·美国·法律·实践
盟接之桥29 分钟前
制造业汽车零配件EDI软件场景方案
网络·安全·低代码·汽车·制造
老高学长37 分钟前
企业如何对局域网电脑进行监控?五个局域网电脑实时监控的方法分享,全方位监控电脑
网络·安全·电脑
Rain50940 分钟前
2.3. 安全配置:环境变量与 API 密钥管理
前端·人工智能·后端·安全·ai·node.js·ai编程
网络研究院1 小时前
澳大利亚网络安全法律与实践
网络·安全·法律·实践·澳大利亚
夫唯不争,故无尤也1 小时前
安全协作:私有仓库的正确共享方式
安全·github·多人协作
juesdo1 小时前
青岑CTF web入门 EZFL系列
web安全·文件包含漏洞
2601_961963381 小时前
数据室里的“第一道锁”:电子保密协议(NDA)签署与防泄漏机制全解析
网络·人工智能·安全·金融·区块链·政务
我是一颗柠檬1 小时前
【计算机网络全面教学】网络安全与加密技术,从对称加密到常见攻击防御Day6(2026年)
网络·计算机网络·web安全
IT新视界1 小时前
星环科技发布XClaw:全能桌面智能体,开启轻量安全的AI助手新时代
人工智能·科技·安全
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?03HTTP 与 HTTPS 的区别:从原理到实战详解042026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf05【AI】2026 年具身智能模型和世界模型总结06AI科技热点日报 | 2026年6月1日07GitHub 镜像站点08上线仅72小时被强制下架:Claude Fable 5 的短命09Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析10《置身钉内》原文-可播放阅读