文件上传漏洞详解

文件上传漏洞详解

漏洞描述

文件上传是 web 应用必备功能之一，像上传头像，提交文件等，在开放功能满足用户是，避免不了一些恶意用户利用该功能上传一些木马文件，恶意脚本文件，exe执行文件等，从而获取对服务器的控制权或者执行恶意操作。这就形成了文件上传漏洞

漏洞原理

开放文件上传功能的时候，开发人员未对用户上传的文件进行严格的过滤和验证时，上传一些木马，恶意脚本文件，比如大马、小马、一句话木马等，这些恶意文件可以被用来执行远程代码、窃取敏感数据、破坏服务器功能或者进行其他恶意行为。

漏洞场景

服务器开启了PUT请求方法，

web应用开放了文件上传功能对于用户上传的文件没做过滤

在程序开发、部署时，没有考虑以下因素，导致限制被绕过:

• 代码特性
• 组件漏洞
• Web 容器漏洞
• 系统特性

漏洞评级

漏洞等级:高危

漏洞危害

• 远程代码执行：攻击者上传包含恶意代码的文件，然后通过上传的文件执行恶意操作，比如执行系统命令、获取敏感数据等。
• 文件覆盖：攻击者上传恶意文件并覆盖服务器上的合法文件，从而破坏服务器功能或者获取敏感信息。
• 服务器资源滥用：攻击者上传大型文件或者大量文件，导致服务器资源被滥用，影响正常服务。
• 钓鱼攻击：攻击者上传伪装成合法文件的恶意文件，诱使用户下载执行，从而进行钓鱼攻击。

漏洞验证

dcrcms文件上传漏洞复现
文件上传漏洞验证主要包括以下步骤：

1. 找到上传文件的页面或功能。
2. 上传一个包含恶意代码的文件，如PHP代码或Webshell文件。
3. 检查上传文件是否成功，并查看上传文件的路径和访问权限。
4. 尝试通过上传的文件执行远程代码或者窃取服务器上的敏感数据，验证漏洞是否存在。

如果上传文件成功并且上传的文件可以执行远程代码或者窃取敏感数据，则表明存在文件上传漏洞。此时，应立即采取措施修补漏洞，以确保服务器和用户数据的安全。

漏洞利用

1. 发现漏洞：攻击者使用自动化工具或手动测试发现目标网站或应用程序存在文件上传漏洞。

2. 上传恶意文件：攻击者利用漏洞上传包含恶意代码的文件或脚本到服务器上。这些文件可以是包含后门的Webshell、恶意的PHP脚本、木马文件等。

3. 远程代码执行：攻击者利用上传的恶意文件执行远程代码，获取对服务器的控制权，或者执行恶意操作。这可能包括执行系统命令、访问敏感数据、修改网站内容等。

4. 窃取敏感数据：攻击者可以上传恶意文件来窃取服务器上的敏感数据，如用户信息、密码、支付信息等。这些数据可以被用于进行进一步的攻击或者牟取私利。

5. 破坏服务器功能：攻击者可以上传恶意文件并覆盖服务器上的合法文件，从而破坏服务器功能或者导致服务器崩溃。

6. 钓鱼攻击：攻击者可以上传伪装成合法文件的恶意文件，诱使用户下载执行，从而进行钓鱼攻击。

漏洞防御

代码角度

• 采用白名单策略，严格限制上传文件的后缀名;
• 上传文件重命名，尽量少的从客户端获取信息，包括文件名、文件类型、文件内容等:
• 文件内容检测;
• 进行二次渲染，过滤掉图片马中的恶意代码
• 避免文件包含漏洞;
• 严格处理文件路径，防御 %00截断漏洞;
• 测 Token 值，防止数据包重放

业务角度

• 强口令策略，避免恶意攻击者登录网站后台
• 尽量避免 web 用户修改上传白名单

Web 容器角度

• 及时更新 web 容器，防止解析漏洞产生
• 禁用 Web 容器 PUT 方法

系统角度

• 避开空格、.、::$DATA等系统特性

服务器部署

• 严格控制权限
• 建立单独的文件存储服务器，类似于站库分离

典型案例

一个著名的文件上传漏洞案例是2015年的“Ashley Madison”事件。Ashley Madison是一家以婚外情配对服务为主要业务的网站，该网站的用户数据库和内部文件在2015年遭到黑客攻击。攻击者利用了网站的文件上传漏洞，成功上传了恶意软件，并最终窃取了大量的用户数据，包括个人信息、信用卡信息等。这次事件导致了用户隐私泄露的严重后果，也给公司带来了巨大的声誉和经济损失。

另一个案例是2016年Yahoo公司曝出的文件上传漏洞事件。攻击者利用Yahoo的文件上传漏洞成功上传了恶意代码，进而获取了500万用户的账户信息，包括用户名、电子邮件地址、电话号码等。这次事件也给Yahoo带来了严重的声誉和经济损失，同时也引起了用户对于数据安全的担忧。