这是一篇网络安全小白写的笔记。
目录
0 文件上传漏洞概述
1 利用文件名及文件类型名类漏洞
1.1 javascript检测扩展名绕过漏洞
1.2 0x00特殊字符截断漏洞
1.3 IIS和Windows系统下的“;”截断字符露洞
1.4FCKEditor为典型的黑名单式文件检测漏洞
2 利用文件内容类漏洞
2.1 文件头检测漏洞
3 利用系统漏洞
3.1 Apache从后往前解析特性
3.2 IIS 6文件夹拓展名漏洞
0 文件上传漏洞
上传漏洞是利用文件上传漏洞把脚本文件上传到服务器。
1 利用文件名类漏洞
1.1 javascript检测扩展名绕过漏洞
检测原理 通过js代码检测文件文件类型
function check(){
var filename=document.getElementById("file");
var str=filename.value.split(".");
var ext=str[str.length-1];
if(ext=='jpg'||ext=='png'||ext=='jpeg'||ext=='gif'){
return true;
}else{
alert("这不是图片!")
return false;
}
return false;
在表单中使用onsumbit=check();
调用js函数来检查上传文件的扩展名。
漏洞原理 利用浏览器修改脚本,破坏检测即可。
1.2 0x00特殊字符截断漏洞
漏洞原理 在C语言、PHP等语言中,0x00
被认为是终止符,可构造文件名为xxx.php[\0].jpg
,[\0]
为16进制的0x00
字符,由于[\0]
(0x00
)是截断字符,文件名会变成xxx.php
。
1.3 IIS和Windows系统下的“;”截断字符漏洞
漏洞原理 在IIS和Windows环境下,截断字符“;
”与0x00
类似。可构造aaa.asp;bbb.jpg
。IIS 6将执行aaa.asp
。
1.4 FCKEditor为典型的黑名单式文件检测漏洞
漏洞原理 黑名单式的限制文件上传,代码如下:
$Config ['AllowedExtensions'] ['File'] = array();//允许上传的类型
$Config ['DeniedExtensions'] ['File'] = array('php','php3','php5','phtml','asp','aspx','ascx','jsp','cfm','cfc','pl','bat','exe','dll','reg','cgi');//禁止上传的类型
漏洞防止 如果不必要,可以删除上传代码。
2 利用文件内容类漏洞
2.1 文件头检测漏洞
漏洞原理 判断文件头内容是否符合要求,
几个常见的文件头对应关系:
(1).JPEG
、.JPE
、.JPG
:"JPGGraphic File
";
(2).gif
:"GIF 89A
";
(3).zip
:"Zip Compressed
";
(4).doc
、.xls
、.xlt
、.ppt
、.apr
:"MS Compound Document v1 or Lotus Approach APRfile
";
3 利用系统漏洞
3.1 Apache从后往前解析特性
漏洞原理 Apache 1.x、2.x中对文件解析有如下特性:
(1)从后往前解析,直至一个可识别文件类型为止;
(2)可识别类型定义在mime.types
文件中。
可构造xxx.php.rar
来绕过。
3.2 IIS 6文件夹拓展名漏洞
漏洞原理 IIS 6曾经出过的漏洞,处理文件父文件夹如为*.asp
,则本文件按ASP格式解析。例如:****/aaa.asp/bbb.jpg
,bbb.jpg
将按asp文件解析。
参考资料
[01]上传漏洞总结
[02]米斯特白帽培训讲义 漏洞篇 文件上传
[03]Web应用安全(麦子学院)|文件上传漏洞
[04]Web应用安全(麦子学院)|文件上传另一种方式
[05]Web应用安全(麦子学院)|文件上传漏洞之绕过方式
[06]Web应用安全(麦子学院)|文件上传漏洞防御
[07]闲话文件上传漏洞
[08]文件上传漏洞(绕过姿势)
[09]吴翰清.白帽子讲Web安全 [M].北京:高等教育出版社,2012.3 . 180-191