@[TCO]catalog
文件上传漏洞简介
文件上传漏洞是一种常见的 Web 安全漏洞,攻击者可以通过该漏洞上传恶意文件,如 WebShell、木马或其他恶意代码脚本,以实现远程控制服务器、窃取数据或发起进一步攻击。这类漏洞通常源于 Web 应用在文件上传功能的安全校验不当,例如缺乏文件类型验证、文件存储位置不合理或服务器解析机制存在漏洞。
文件上传漏洞的触发条件主要包括以下几点:
- 缺乏文件类型验证:
服务器未严格检查上传文件的后缀(如允许 .php、.jsp 等执行脚本的文件)。
仅通过 MIME 类型或后缀名来验证,攻击者可通过修改扩展名或伪造 MIME 类型绕过。 - 文件内容未校验:
仅检查文件扩展名,而未检查文件内容(如魔术字、MIME 头)。
允许上传嵌入恶意代码的图片(如 PHP 代码伪装为 .jpg)。 - 存储路径可控:
服务器未对文件存储路径进行限制,导致攻击者可以上传到可访问目录(如 Web 目录)。
可通过目录遍历漏洞(如 .../)指定任意存储位置。 - 上传后可直接访问:
文件上传后,服务器未限制执行权限,导致 .php、.jsp 等文件可直接访问并执行恶意代码。
服务器对上传目录未作权限控制(如未禁用脚本执行)。 - 文件解析漏洞:
服务器解析规则存在缺陷,如 .php.jpg 在某些环境下仍可被解析为 PHP 文件。
结合 Nginx/IIS/Apache 的解析特性(如 IIS 6.0 的 ;.jpg 绕过)。 - 客户端验证绕过:
仅依赖 JavaScript 进行文件类型验证,可通过禁用 JS 或拦截修改请求绕过。
使用 Burp Suite 等工具修改上传请求的文件名或类型绕过前端限制。
条件竞争漏洞分析
条件竞争漏洞,本质上就是多个进程或线程同时操作同一个资源,导致意外行为,攻击者可以利用这个时机达到某种目的。简单来说,就是程序"插队",导致安全问题。
类似代码
php
php
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_name = $_FILES['upload_file']['name'];
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_ext = substr($file_name,strrpos($file_name,".")+1);
$upload_file = UPLOAD_PATH . '/' . $file_name;
if(move_uploaded_file($temp_file, $upload_file)){
if(in_array($file_ext,$ext_arr)){
$img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
rename($upload_file, $img_path);
$is_upload = true;
}else{
$msg = "只允许上传.jpg|.png|.gif类型文件!";
unlink($upload_file);
}
}else{
$msg = '上传出错!';
}
}代码流程:
- 移动文件到指定路径
- 判断文件后缀是否符合
- 符合则重命名
- 不符合则删除文件
这里存在逻辑的问题,先移动文件到指定目录再判断是否符合并删除。服务器处理代码时总会存在一定的时间差,当我们在上传文件后就多次快速尝试访问目标文件,那么是不是有机会在删除前成功访问文件。而如果文件的代码是重新创建一个木马文件,新木马文件则永远不会被删除了!
方法
上传一个php文件,如果正常上传,上传之后,也会被删除,通过利用条件竞争机制可以有效避开php上传之后被删
利用bp,一直爆破访问
最后可以在上传的路径中查找到php文件,同时,不断也可以在url中访问到
条件竞争+apache解析漏洞
apache解析漏洞
apache解析漏洞在低版本会有,现在的版本几乎没有
Apache 解析漏洞主要是因为 Apache 在不同配置环境下解析文件的方式不一致,攻击者可以利用这一特性绕过文件上传的安全检测,最终执行恶意代码,比如 Webshell。
Apache解析漏洞主要是因为Apache默认一个文件可以有多个用.分割得后缀,当最右边的后缀无法识别(mime.types文件中的为合法后缀)则继续向左看,直到碰到合法后缀才进行解析(以最后一个合法后缀为准)
代码
php
//index.php
$is_upload = false;
$msg = null;
if (isset($_POST['submit']))
{
require_once("./myupload.php");
$imgFileName =time();
$u = new MyUpload($_FILES['upload_file']['name'], $_FILES['upload_file']['tmp_name'], $_FILES['upload_file']['size'],$imgFileName);
$status_code = $u->upload(UPLOAD_PATH);
switch ($status_code) {
case 1:
$is_upload = true;
$img_path = $u->cls_upload_dir . $u->cls_file_rename_to;
break;
case 2:
$msg = '文件已经被上传,但没有重命名。';
break;
case -1:
$msg = '这个文件不能上传到服务器的临时文件存储目录。';
break;
case -2:
$msg = '上传失败,上传目录不可写。';
break;
case -3:
$msg = '上传失败,无法上传该类型文件。';
break;
case -4:
$msg = '上传失败,上传的文件过大。';
break;
case -5:
$msg = '上传失败,服务器已经存在相同名称文件。';
break;
case -6:
$msg = '文件无法上传,文件不能复制到目标目录。';
break;
default:
$msg = '未知错误!';
break;
}
}
//myupload.php
class MyUpload{
......
......
......
var $cls_arr_ext_accepted = array(
".doc", ".xls", ".txt", ".pdf", ".gif", ".jpg", ".zip", ".rar", ".7z",".ppt",
".html", ".xml", ".tiff", ".jpeg", ".png" );
function upload( $dir ){
$ret = $this->isUploadedFile();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->setDir( $dir );
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->checkExtension();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
$ret = $this->checkSize();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
// if flag to check if the file exists is set to 1
if( $this->cls_file_exists == 1 ){
$ret = $this->checkFileExists();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
}
// if we are here, we are ready to move the file to destination
$ret = $this->move();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
// check if we need to rename the file
if( $this->cls_rename_file == 1 ){
$ret = $this->renameFile();
if( $ret != 1 ){
return $this->resultUpload( $ret );
}
}
return $this->resultUpload( "SUCCESS" );
}
};注意,在upload-labs靶场中需要修改一点代码
这里要多加一个 / 否则,路径上传会有问题(不太符合实际)
方法
利用利用多后缀方式上传并且抓包,利用竞争条件,竞争成功的话这个文件为被当成php文件
