【渗透测试】文件上传漏洞：upload-labs通关简记

目录

一、文件上传漏洞

⚽1.1 漏洞成因

⚽1.2 漏洞危害

⚽1.3 漏洞利用

⚽1.4 修复建议

二、upload-labs通关简记

⚽Pass-01：前端验证，js校验后缀格式

⚽Pass-02：MIME验证，只对content-type进行了检查

⚽Pass-03：黑名单验证，限制了php、jsp等文件的上传

⚽Pass-04：黑名单验证，添加限制了php3、php5等文件的上传

⚽Pass-05：黑名单验证，添加限制了.htaccess文件的上传

⚽Pass-06：黑名单验证，添加限制了.ini文件的上传

⚽Pass-07：黑名单验证，添加使用了strtolower()函数

⚽Pass-08：黑名单验证，添加使用了trim()函数

⚽Pass-09：黑名单验证，添加使用了deldot()函数

⚽Pass-10：黑名单验证

⚽Pass-11：黑名单验证

⚽Pass-12：白名单验证

⚽Pass-13：白名单验证

⚽Pass-14：图片马上传，文件包含

⚽Pass-15：图片马上传，文件包含，添加了getimagesize函数

⚽Pass-16：图片马上传，文件包含，添加了exif_imagetype()函数

三、补充资料

⚽3.1 .user.ini绕过

⚽3.2 %00截断绕过前提条件

---

一、文件上传漏洞

⚽1.1 漏洞成因

    文件上传漏洞的成因(复杂），一方面，Web应用开放了文件上传功能，并且对上传的文件没有进行足够的限制;另一方面，程序开发部署时候，没有考虑到系统特性和过滤不严格;再者就是，攻击者通过Web服务器解析漏洞绕过限制，导致可以上传任意文件。

⚽1.2 漏洞危害

（1）文件上传漏洞最直接的威胁就是上传任意文件，包括恶意脚本、可执行程序等。

（2）如果web服务器所保存上传文件的可写目录具有执行权限，那么就可以直接上传后门文件，导致网站沦陷。

（3）如果攻击者通过其他漏洞进行提权操纵，拿到系统管理权限，那么直接导致服务器沦陷。

（4）同服务器下的其他网站无一幸免，均会被攻击者控制。

⚽1.3 漏洞利用

文件上传漏洞利用需要一定的条件的:

（1）Web服务器要开启文件上传功能，并且上传api(接口）对外“开放”(Web 用户可以访问)；

（2）Web用户对目标目录具有可写权限，甚至具有执行权限，一般情况下，Web目录都有执行权限。
（3）要想完美利用文件上传漏洞，就是上传的文件可以执行，也就是Web容器可以解析我们上传的脚本，无论脚本以什么样的形式存在。

⚽1.4 修复建议

（1）对上传的文件在服务器上存储时进行重命名

（2）检查上传文件的类型和大小

（3）禁止上传危险的文件类型，如jsp jar war等

（4）只接受指定类型的文件

二、upload-labs通关简记

⚽Pass-01：前端验证，js校验后缀格式

绕过方法：

上传时将php文件后缀改为允许的格式，如jpg，再利用burpsuite拦截数据包，修改后缀为php重新上传即可

⚽Pass-02：MIME验证，只对content-type进行了检查

绕过方法：

同Pass-01，或者直接上传php文件然后拦截数据包修改content-type为允许的格式，如image/png

⚽Pass-03：黑名单验证，限制了php、jsp等文件的上传

绕过方法：

（1）可以使用php3、php5、phtml等后缀绕过上传，但是需要配置httpd.conf文件中的#AddType application/x-httpd-php .php .phtml为AddType application/x-httpd-php .php .phtml .php3 .php5，并且注意要去掉#；

（2）.htaccess文件绕过，文件内写入语句SetHandler application/x-httpd-php，意为将所有文件均解析为PHP文件

⚽Pass-04：黑名单验证，添加限制了php3、php5等文件的上传

绕过方法：

.htaccess文件绕过

⚽Pass-05：黑名单验证，添加限制了.htaccess文件的上传

绕过方法：

（1）.user.ini文件绕过（要求php版本大于等于5.3.0版本且为nts版本），新建一个.user.ini文件并写入内容：auto_append_file=test.txt或者auto_prepend_file=test.txt（其中test.txt文件为木马文件），然后上传该文件和test.txt文件，再访问上传目录下的readme.php，即可将test.txt内的内容脚本正常执行；

（2）修改后缀为“php. .”（php点空格点）即可绕过

⚽Pass-06：黑名单验证，添加限制了.ini文件的上传

绕过方法：

大小写绕过，虽然过滤了很多类容，但是没有使用strtolower()函数，因此可使用大小写绕过黑名单

⚽Pass-07：黑名单验证，添加使用了strtolower()函数

绕过方法：

空格绕过，发现其未使用trim()函数（此函数的作用即为去除文件名前后的空格），因此可以使用空格绕过黑名单

⚽Pass-08：黑名单验证，添加使用了trim()函数

绕过方法：

点号绕过，发现其未使用deldot()函数（此函数的作用即为去除文件名末尾的点），因此可以使用点号绕过黑名单

⚽Pass-09：黑名单验证，添加使用了deldot()函数

绕过方法：

特殊字符::$DATA绕过，发现其对::$DATA进行处理，因此可以在文件名末尾添加字符串::$DATA绕过

⚽Pass-10：黑名单验证

绕过方法：

点空格点绕过，使用了deldot()函数去除文件名末尾的点，但是该函数是从后向前检测，遇到空格时会停止，因此可以在文件名末尾添加点空格点绕过

⚽Pass-11：黑名单验证

绕过方法：

双写绕过，使用了str_replace()函数检测黑名单存在的字符串并替换，因此可以使用一双学绕过黑名单

⚽Pass-12：白名单验证

绕过方法：

%00截断绕过（GET型)，在文件上传路径后添加文件名+%00，并修改filename为允许的文件后缀，上传成功后直接访问在文件上传路径后添加的文件名即可

⚽Pass-13：白名单验证

绕过方法：

%00截断绕过（POST型)，在文件上传路径后添加文件名+%00，并且对%00进行url解码，并修改filename为允许的文件后缀，上传成功后直接访问在文件上传路径后添加的文件名即可

⚽Pass-14：图片马上传，文件包含

绕过方法：

利用copy命令将图片与木马文件融合为图片马，上传成功后利用文件包含漏洞执行

⚽Pass-15：图片马上传，文件包含，添加了getimagesize函数

绕过方法：

getimagesize()函数会读取目标文件的文件头来判断是否为图片文件，因此任可使用Pass-14的图片马进行绕过

⚽Pass-16：图片马上传，文件包含，添加了exif_imagetype()函数

绕过方法：

exif_imagetype()函数读取图像的第一个字节并检查后缀，速度比getimagesize()函数快得到，但需要开启php_exif模块，任可使用Pass-14的图片马进行绕过

三、补充资料

⚽3.1 .user.ini绕过

    配置文件（php.ini）在 PHP 启动时被读取。对于服务器模块版本的 PHP，仅在 web 服务器启动时读取一次。对于 CGI 和 CLI 版本，每次调用都会读取。除了主 php.ini 之外，PHP 还会在每个目录下扫描 INI 文件，从被执行的 PHP 文件所在目录开始一直上升到 web 根目录。如果被执行的 PHP 文件在 web 根目录之外，则只扫描该目录。

    自php5.3.0起，PHP支持基于每个目录的.htaccess风格的INI文件。此类文件仅被CGI/Fastcgi sapi处理。两个新的 INI 指令， user_ini.filename 和 user_ini.cache_ttl 控制着用户 INI 文件的使用。

    user_ini.filename 设定了 PHP 会在每个目录下搜寻的文件名；如果设定为空字符串则 PHP 不会搜寻。默认值是 .user.ini。

    user_ini.cache_ttl 控制着重新读取用户 INI 文件的间隔时间。默认是 300 秒（5 分钟）

    .user.ini实际上就是一个可以由用户”自定义“的php.ini，我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置

有两个配置，可以用来制造后门：

    auto_append_file   ; 指定一个文件，自动包含在要执行的文件前。

    auto_prepend_file  ; 指定一个文件，自动包含在要执行的文件后。

使用.user.ini解析漏洞的前提条件：

a.服务器脚本语言为php

b.服务器使用cgi/fastcgi模式，即nts版本

c.上传目录下有可被执行的php文件

⚽3.2 %00截断绕过前提条件

a.php版本小于5.3

b.关闭magic_quotes_gpc魔术函数