文件上传漏洞(1), 文件上传绕过原理

文件上传漏洞

一, 前端校验上传文件

添加 Javascript 代码，然后在 form 表单中 添加 onsubmit="returb checkFile()"

<script>
    function checkFile() {
        // var file = document.getElementsByName('photo')[0].value;
        var file = document.getElementById('photo').value;
        if (file == null || file == "") {
            alert("请选择要上传的文件!");
            return false;
        }
        //定义允许上传的文件类型
        var allow_ext = ".jpg|.png|.gif";
        //提取上传文件的类型 xxx.yyy.shell.php
        var ext_name = file.substring(file.lastIndexOf("."));
        //判断上传文件类型是否允许上传
        if (allow_ext.indexOf(ext_name) == -1) {
            var errMsg = "该文件不允许上传，请上传" + allow_ext + "类型的文件,当前文件类型为：" + ext_name;
            alert(errMsg);
            return false;
        }
    }
script>


<form action="reg.php" method="POST" enctype="multipart/form-data" onsubmit="return checkFile()">
    <tr>
        <td width="40%">用户名：td>
        <td width="60%"><input type="text" id="username" name="username" />td>
    tr> 
    <tr> 
        <td>密  码：td>
        <td><input type="password" id="password" name="password"/>td>
    tr>
    <tr> 
        <td>头  像：td>
        <td><input type="file" name="photo" id="photo">td>
    tr>
    <tr>
        <td colspan="2"><button type="submit">注册button>td>
    tr> 
form>

绕过前端:

1. 在浏览器设置中禁用js
通常不建议使用这种方式, 因为前端js中可能存在很多其他js的功能, 例如ajax请求.

2. 用burpsuite等工具修改请求.
因为前端js对文件类型做了限制, 那么将需要执行的php文件后缀名修改为jpg, 先绕过js检查, 提交请求后用burp suite捕获.
在burpsuite中修改提交的数据, 将 filename 参数中的文件扩展名改回php再发送.

文件上传成功后, 通过前端工具查找上传的文件路径, 比如头像的url路径, 然后访问执行代码:
http://192.168.112.200/security/upload/20231025_172754.php?cmd=phpinfo();

二, 后端校验上传文件

前端有可能通过burp suite等工具绕过. 后端对提交过来的文件类型进行限制.

判断文件后缀名

// 不允许上传的文件的后缀名是.php
$fileName = $_FILES['photo']['name']; // 获取文件的原始文件名
$extName = end(explode(".", $fileName));
if ($extName == 'php') {
    die("invalid-file");
}

判断 Content-Type

$fileType = $_FILES["photo"]["type"];
if ($fileType != 'image/jpeg' && $fileType != 'image/png' && $fileType != 'image/gif') {
	die("invalid-file");
}

绕过后端:

1. 尝试大小写绕过, 例如修改请求信息filename="mm.php" 修改为 mm.PhP
2. 使用burpsuite修改Content-type