渗透之路基础 -- 文件上传

具体还是要根据实战情况来判断分析，本文仅供思路学习和参考

漏洞危害

可以直接上传Shell，导致服务器getshell

漏洞形成

Web应用程序没有对上传文件的格式进行严格过滤 , 还有一部分是攻击者通过 Web服务器的解析漏洞来突破Web应用程序的防护；通常都会出现在，上传功能上

文件上传格式及解析

​ 没有解析漏洞的情况下，格式代码必须要和文件格式一直，否则无法正常解析运行，如果存在解析漏洞的情况下，格式代码可以和不同格式相互解析

​ 之后也会发出关于解析漏洞的文章！

漏洞防御

可以针对文件名、文件大小、文件内容、文件类型等进行防御

1. 检查文件上传路径 ( 避免 0x00 截断、 IIS6.0 文件夹解析漏洞、目录遍历 )

2. 文件扩展名检测 ( 避免服务器以非图片的文件格式解析文件 )

3. 文件 MIME验证 ( 比如 GIF 图片 MIME为 image/gif,CSS 文件的 MIME为 text/css 等 ) 3. 文件内容检测 ( 避免图片中插入 webshell)

4. 图片二次渲染 ( 最变态的上传漏洞防御方式 , 基本上完全避免了文件上传漏洞 )

5. 文件重命名 ( 如随机字符串或时间戳等方式 , 防止攻击者得到 webshell 的路径 )

注意：若攻击者上传了shell之后，肯定会通过某刀剑进行连接，所以尽量不要暴露文件路径，并且设置访问权限，以进一步防御

文件上传验证及突破

文件过滤，验证后缀：

1. 文件头验证

2. 文件类型验证

3. 文件后缀验证

   绕过：

   1. 修改文件头，伪造文件属性
   2. 修改文件类型，伪造文件类型 MIME绕过
   3. 增加多重后缀，伪造文件后缀 命名绕过

   js 本地验证突破

   1. 复制js代码，创建本地文件删除相应验证代码后直接上传(无防盗链可用)

   2. %00 截断 shell.php%00.jpg => shell.php

      测试代码 upload.php

      
      
      
      
          
          
          
          
      
      文件上传漏洞演示脚本--JS验证实例
      
      
          
          请选择要上传的文件：
          
      
      
      

  上传成功之后仍然是图片格式

  *这时候需要抓包修改*

  - 注意：直接通过burp抓包修改，可能上传的文件还是shell.php%00.jpg
  - 需要通过修改%00的URL编码格式：
    - 选中%00 右键选中 URL
    - 点击 URL-decode
    - %00 乱码则可以上传

文件上传MIME验证突破

​ 测试页面 mime.php

    
    
    

文件上传漏洞演示脚本--MIME验证实例


    请选择要上传的文件：
    

​ 抓包修改 Content-Type

序号	内容类型	文件扩展名	描述
1	application/msword	doc	Microsoft Word
2	application/octet-stream bin	dms lha lzh exe class	可执行程序
3	application/pdf	pdf	Adobe Acrobat
4	application/postscript	ai eps ps	PostScript
5	appication/powerpoint	ppt	Microsoft Powerpoint
6	appication/rtf	rtf	rtf 格式
7	appication/x-compress	z	unix 压缩文件
8	application/x-gzip	gz	gzip
9	application/x-gtar	gtar	tar 文档 (gnu 格式 )
10	application/x-shockwave-flash	swf	MacroMedia Flash
11	application/x-tar	tar	tar(4.3BSD)
12	application/zip	zip	winzip
13	audio/basic	au snd	sun/next 声音文件
14	audio/mpeg	mpeg mp2	Mpeg 声音文件
15	audio/x-aiff	mid midi rmf	Midi 格式
16	audio/x-pn-realaudio	ram ra	Real Audio 声音
17	audio/x-pn-realaudio-plugin	rpm	Real Audio 插件
18	audio/x-wav	wav	Microsoft Windows 声音
19	image/cgm	cgm	计算机图形元文件
20	image/gif	gif	COMPUSERVE GIF 图像
21	image/jpeg	jpeg jpg jpe	JPEG 图像
22	image/png	png	PNG 图像

​ http://www.w3school.com.cn/media/media_mimeref.asp

关于编辑器上传漏洞利用

​ 网站程序编辑器插件，eweb，fck，ce，cfinder，ck等

​ 利用图片路径判断编辑器类型

.htaccess 文件上传漏洞

​ 只适用于Apache 通过配置文件来解析执行相应脚本

SetHandler application/x-httpd-php

直接访问是访问不到的

通过修改.htaccess文件可直接访问

可以将任意文件解析为PHP

1. 如果存在上次.htaccess文件，可以直接利用规则解析
2. 如果存在修改文件的权限，修改解析规则
3. 拓展利用：权限维持