文件上传漏洞技术基础

文件上传漏洞:

1.本地验证

本地验证:客户端本地通过前台JS脚本进行检测。

原理:

当用户在客户端选择文件点击上传的时候,客户端会在向服务器发送请求之前,就先对将上传的本地文件类型进行检测,来判断是否是可以上传的类型,这种方式称为前台脚本检测,即本地验证。
如何判断是本地验证呢?很多情况下感觉速度较快的返回信息则认为有可能是本地验证,但是有的时候需要根据抓报以及跟踪上传代码来分析出是否为本地验证。

绕过:

绕过前台脚本检测扩展名,就是要使检测函数失效。

  • 可以绕过检测规则;
  • 可以修改检测规则;
  • 在数据传输中修改数据包内容。

1. 绕过检测规则

检查网页源码,看能否找到文件上传点附近调用检测函数的痕迹。

图1.1-调用检测函数

像这里我们能看到onsubmit="return checkFile()"就是调用了检测函数。
我们可以采取直接修改前台代码的方式。取消检测函数的调用,再进行文件上传。
注意:这种修改只是在本地上修改,是临时的,刷新页面即可还原。

还有一种绕过方式,就是干脆在本地浏览器客户端禁用JS。可使用火狐浏览器的NoScript插件、IE中禁用掉JS等方式实现。

2. 修改检测规则

检查网页源码,看能否找到文件过滤函数。

图1.2 修改检测规则

如果找到了,我们就可以通过直接修改这个JS函数,使它能够上传我们需要的文件。
注意:这种修改只是在本地上修改,是临时的,刷新页面即可还原。

3. 修改数据包

首先将所要上传文件的扩展名更改为符合脚本检测规则的扩展名,通过BurpSuite等抓包工具,截取数据包,并将数据包中文件扩展名更改为所需要的扩展名,达到绕过的目的。

图1.3 修改数据包

例如:文件名本来为【evil.jpg】,上传时,用BurpSuite截包后,将数据包中的名字改为【evil.php】(或其它脚本类型)即可。

2.MIME类型检测绕过漏洞

服务器端根据 content-type 类型检测,如果是白名单允许的,则可以正常上传,否则上传失败。

MIME

MIME:客户端软件,区分不同种类的数据,例如web浏览器就是通过MIME类型来判断文件是GIF图片,还是可打印的PostScript文件。web服务器使用MIME来说明发送数据的种类, web客户端使用MIME来说明希望接收到的数据种类。

MIME检测原理

服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法的。

php示例代码:

<?php
    if($_FILES['userfile']['type'] != "image/gif") { 
  //检测Content-type
  //当上传文件的type不为`image/gif`时,程序不执行文件保存操作,直接退出。
  //当上传文件的type是`image/gif`时,程序跳出if语句,执行文件保存操作。
    echo "Sorry, we only allow uploading GIF images";
  exit;
  }
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);

if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) 
{
echo "File is valid, and was successfully uploaded.\n";
echo "File path is ".$uploadfile;
} 

else
{
echo "File uploading failed.\n";
}
?>

示例代码的功能是服务端用来处理文件上传的,在第二行中if语句对上传文件的type判断是否为image/gif。

在代码中检测的type值,对应http包中的字段Content-Type的值。也就是所我们可以伪装上传文件的type值,来绕过服务端的MIME检测

绕过:

修改content-type 参数欺骗绕过。

防御:

根据攻击原理,有以下几点应该注意:
1:文件上传的目录设置为不可执行
只要web容器无法解析该目录下的文件,即使攻击者上传了脚本文件,服务器本身也不会受到影响,因此此点至关重要。实际中,很多大型网站的上传应用,文件上传后会放到独立的储存上,做静态处理。但对一些小应用,如果存在上传功能,则仍需要多加关注
2:判断文件类型:
判断文件类型时,应结合MIME Type、后缀检查等方式。推荐使用白名单,黑名单的方式已经无数次被证明不可靠。此外,针对图片处理,可以使用压缩函数或者resize函数,在处理图片的同事破坏掉图片中可能包含的HTML代码。
3:使用随机数改写文件名和文件路径
文件上传如果要执行代码,则需要用户能够访问到这个文件。在某些环境中,用户能上传,但不能访问。如果应用使用随机函数改写了文件名和路径,将极大增加攻击成本。与此同时,像1.php.rar.rar、或者1.xml这种文件,都因为文件名被改写而无法成功实施攻击

3. 文件扩展名绕过漏洞

应用场景:服务端验证绕过(扩展名检测),一般用于绕过黑名单检测。
黑名单检测 黑名单的安全性其实还没白名单的安全性高,至少攻击它的方式比白名单多多了。
一般有个专门的 blacklist 文件,里面会包含常见的危险脚本文件。

黑名单

1). 找黑名单扩展名的漏网之鱼

比如上面就漏掉了 asa 和 cer 之类。

2). 可能存在大小写绕过漏洞

比如 aSp 和 pHp 之类。
用于只将小写的脚本后缀名(如php)过滤掉的场合。

3)双写后缀名绕过

用于只将文件后缀名,例如"php"字符串过滤的场合;
例如:上传时将Burpsuite截获的数据包中文件名【evil.php】改为【evil.pphphp】,那么过滤了第一个"php"字符串"后,开头的'p'和结尾的'hp'就组合又形成了【php】。

4). 特别文件名构造

比如发送的 http 包里把文件名改成 help.asp. 或 help.asp_(下划线为空 格),这种命名方式在 windows 系统里是不被允许的,所以需要在 burp 之类里进行修改,然 后绕过验证后,会被 windows 系统自动去掉后面的点和空格。

了解php扩展名解析原则

可以被解析成PHP文件的后缀名有php4,phtml,phps,等。
通过修改后缀,绕过黑名单检测。

5). IIS 或 nginx 文件名解析漏洞

关于解析漏洞,详见:http://blog.csdn.net/xavierdarkness/article/details/78118767

4.文件内容检测绕过类上传漏洞

在真实图片中插入一句话木马,绕过内容检测。

5. 空字节截断目录路径检测绕过类上传漏洞 (00截断)

即 利用文件系统00截断—绕过

原理

在上传的时候,当文件系统读到 0x00 时,会认为文件已经结束。
利用00截断就是利用程序员在写程序时对文件的上传路径过滤不严格,产生0x00上传截断漏洞。

绕过方法

通过抓包截断将【evil.php.jpg】后面的一个【.】换成【0x00】。在上传的时候,当文件系统读到【0x00】时,会认为文件已经结束,从而将【evil.php.jpg】的内容写入到【evil.php】中,从而达到攻击的目的。

Paste_Image.png
Paste_Image.png

上传漏洞防御:

1.客户端检测,使用JS对上传图片检测,包括文件大小、扩展名、文件类型等
2.服务端检测,对文件大小、路径、扩展名、类型、文件内容检测、对文件重命名
3.其他限制,服务器端上传目录设置不可执行权限。

参考资料:

http://blog.csdn.net/c465869935/article/details/51800354
http://blog.csdn.net/xysoul/article/details/45306209

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 195,783评论 5 462
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 82,360评论 2 373
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 142,942评论 0 325
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 52,507评论 1 267
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 61,324评论 5 358
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 46,299评论 1 273
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 36,685评论 3 386
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 35,358评论 0 254
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 39,652评论 1 293
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 34,704评论 2 312
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 36,465评论 1 326
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 32,318评论 3 313
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 37,711评论 3 299
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 28,991评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,265评论 1 251
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 41,661评论 2 342
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 40,864评论 2 335

推荐阅读更多精彩内容

  • 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直...
    付出从未后悔阅读 1,117评论 0 4
  • 一、初步认识 1.上传功能:网站上各种可以上传文件,图片的地方可以被用作上传点进行非法上传 2.上传原理:在前端代...
    楠昭阅读 1,608评论 1 11
  • 一般防止上传漏洞手法 客户端检测 客户端验证代码形如下: 接收文件的脚本upload.php代码如下: 绕过: 服...
    cws阅读 5,777评论 1 22
  • 我情愿相信善良的姑娘都会遇到自己人间四月天。 这个快餐时代,不管是婚姻或是爱情泛滥成灾。行踪该不该...
    一颦一语阅读 505评论 0 0
  • 刺杀 这是关于一个刺杀的故事。 丹莫罗,寒脊山小径。 楚流香正端坐在一颗大树上。繁茂的树叶把他挡的严严实实,如果有...
    朱八八阅读 432评论 5 3