[10]-文件上传漏洞-初探源码审计与Fuzz

一、初探源码审计

1.靶场测试

靶场环境

Bwapp

漏洞类型：Unrestricted File Upload

等级：high

各种方式测试

直接上传webshell------失败

尝试修改文件后缀-----失败----说明白名单限制严格

文件名截断攻击-----无法利用----因为只有一个控制点（文件名），而不能控制文件存储路径

2.代码审计

代码审计关注点

代码逻辑性安全问题----代码逻辑是否严谨

函数调用足够安全问题----是否调用危险函数

代码审计流程
文件在/var/www/html下的unrestricted_file_upload.php文件，查看具体运行过程

可以看到，通过的是cookie值执行相关的操作，本文选择heig时，cookie为2。在这种情况下，调用了file_upload_check_2()函数进行安全性控制。
找到file_upload_check_2()函数：在头文件中include("functions_external.php"); 猜测该函数很大概率存在于functions_external.php文件中，打开该文件，并找到该函数。

从具体执行中，找到关键部分，进一步分析关键函数作用、可能存在漏洞

$file_array = explode(".", $file["name"]); 以点为分割创建一个数组

$file_extension = strtolower($file_array[count($file_array) - 1]); 取数组最后一个，作为文件拓展名

in_array($file_extension, $file_extensions) 判读上传的文件类型是否在合法的范围内

可以发现，在代码逻辑严谨性上，没有问题。进一步判断函数调用是否安全。
确定核心函数：

explode()

in_array()

其中array()第三个参数没填，松散匹配，存在安全威胁，但在实现文件上传漏洞时，该安全级别比较低（威胁小）。

审计结果分析
通过审计发现，无法同时满足以下两个条件：

上传的文件名类型为jpg/png

存储的文件名类型为php/php3等类型

因此，该文件上传漏洞本身无法直接利用

拓展----漏洞链
漏洞之间联合调用，利用图片马(包含一句话木马的jpg文件)上传后，再利用文件包含漏洞，从而完成渗透。
文件包含漏洞：把不可执行文件，变成可执行文件，后续会详细讲解

二、初探Fuzz----自动化测试

1.Fuzz简介

Fuzz定义
自动化/半自动化测试
核心思想：自动/半自动的生成批量/随机化的数据，输入到程序中，进而挖掘程序存在的漏洞

Fuzz简单利用----BurpSuit
环境：

靶场：bwapp

等级：medium

漏洞：Unrestricted File Upload

先上传shell.php，发现无法成功，在BurpSuit中找到对应post请求，右击选择send to intruder

发送后，进入Intruder菜单内，选择Positions即位置（入侵/测试的点），在需要做Fuzz的点，用§（注意，该符号并不是"$"符）框起来就可以了。本文做Fuzz的点只在文件名后缀处，所以应该按照如下方式：

接下来，选择Payloads载荷，导入或者手动添加样例，添加完成后，点击Start attrack即可

在返回结果中，看到不同的结果，比对返回数据报不同长度的不同结果得知每一种长度大概率的意义，如：13845可能就是失败，13786可能就是文件已存在但成功绕过。当然，这种根据长度来判断的并不绝对（部分情况存在所有情况，无论成功或者失败长度都一致的，CTF中），此时可以自写脚本，进一步判断一些关键字。