尽最大可能分析上传源码及漏洞利用方式

0x00 简单源码分析

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39

<?php if ((($_FILES["file"]["type"] == "image/gif")       //检测Content-type值 || ($_FILES["file"]["type"] == "image/jpeg") || ($_FILES["file"]["type"] == "image/pjpeg")) && ($_FILES["file"]["size"] < 20000))              //检测文件大小   {   $ext = end(explode('.', $_FILES["file"]["name"]));  //获取最后“.”的后缀   if($ext === 'php')                          //检测是否为php后缀     {     exit('error');     }   if ($_FILES["file"]["error"] > 0)           //返回上传错误码     {     echo "Return Code: " . $_FILES["file"]["error"] . "<br />";     }   else                                                  //返回上传成功信息     {     echo "Upload: " . $_FILES["file"]["name"] . "<br />";     echo "Type: " . $_FILES["file"]["type"] . "<br />";     echo "Size: " . ($_FILES["file"]["size"] / 1024) . " Kb<br />";     echo "Temp file: " . $_FILES["file"]["tmp_name"] . "<br />";       if (file_exists("upload/" . $_FILES["file"]["name"]))  //检测文件是否存在       {       echo $_FILES["file"]["name"] . " already exists. ";       }     else                          //将上传的临时文件转移到指定存放文件夹       {       move_uploaded_file($_FILES["file"]["tmp_name"],       "upload/" . $_FILES["file"]["name"]);       echo "Stored in: " . "upload/" . $_FILES["file"]["name"];       }     }   } else   {   echo "Invalid file";              //返回无效文件的错误信息   } ?>

0x01 详细分析过程

1) 直接使用用户上传文件名，没有过滤特殊字符，存在漏洞

1 2 3 4 5 6 7 8 9 10 11 12

if ((($_FILES["file"]["type"] == "image/gif")            //文件类型检测 || ($_FILES["file"]["type"] == "image/jpeg") || ($_FILES["file"]["type"] == "image/pjpeg")) && ($_FILES["file"]["size"] < 20000))   {   $ext = end(explode('.', $_FILES["file"]["name"]));  //文件后缀检测   if($ext === 'php'){           exit('error');   }         ......                                      //省略了中间的一些代码

以下代码的作用是，将上传到临时文件夹的文件移到upload的目录下

1 2 3 4 5 6

else                                              {  move_uploaded_file($_FILES["file"]["tmp_name"],  "upload/" . $_FILES["file"]["name"]);  echo "Stored in: " . "upload/" . $_FILES["file"]["name"];  }

1.1分析：

从以上代码可以看出，可以上传图片文件，对文件拓展名检测是通过end(explode(‘.’,$_FILES[“file”][“name”]))函数实现（在这里先不说文件类型验证的问题）explode(‘.’,$_FILES[“file”][“name”])用来把上传的文件名作为字符串，以.(点)来分割字符串来生成数组，而end()函数则是将数组内部指针指向最后一个元素，并返回该元素的值，例如，当上传x.php文件时，最终就会获取到php。

而对于$_FILES里面获取变量，是直接来自http request请求，它跟普通获取其它get,post变量一样。 比如在post上传时，我们可以通过抓包来截获（常用神器burpsuite）这一过程，由于在上传的检测中没有对文件名进行检测和过滤及处理，因此，我们可以将name构造一个特殊文件名，然后，再将post数据提交，就可以达到上传绕过对文件扩展名的检测。

1.2利用：

比如我们可以在本地上将一个php文件命名为x.php.jpg在上传文件时，抓包post，将filename修改为x.php\0.jpg再提交post数据，那么在保存我们修改后的文件时，\0后面的所有字符将(如.jpg)被自动截断，最终生成我们想要目标文件格式(如本例的x.php)，以至于可以上传任意恶意的php脚本。从网上得到说明Php4的版本可以利用这个漏洞，php5版本以上会自动过滤掉’”/0”，另外很多asp,jsp也存在此类截断上传的漏洞。

2)文件类型验证不严格，存在漏洞

1 2 3 4 5 6 7 8 9 10

<?php if ((($_FILES["file"]["type"] == "image/gif") || ($_FILES["file"]["type"] == "image/jpeg") || ($_FILES["file"]["type"] == "image/pjpeg")) && ($_FILES["file"]["size"] < 20000))   {   $ext = end(explode('.', $_FILES["file"]["name"]));   if($ext === 'php'){       exit('error');   }

2.1分析:

从代码可以看出是通过读取文件的type直接来做文件类型的判断，同样我们可以通过抓取post数据，将Content-type值修改为允许上传的MIME类型，在这里有image/gif等三种，从而绕过对文件type的检查，虽然之后代码对文件扩展名进行了检测(那两个个函数对文件扩展名检测的大慨过程就是判断文件名最后”.”的最后字符，example.php.bak最终得到是bak)，并判断是否是php后缀名。

2.2利用:

1.如果没有对apache默认支持解析文件方式进行修改时(即apache解析漏洞,很多网站管理员由于安全意识薄弱或其他情况往往没有修改)，那么在绕过对type的检测之后，最简单的利用方式就是我们可以直接上传一个恶意的名为x.php.ext，这里的ext可以是多种，只要不是php和apache可以解析其他扩展名(如txt后缀)就可以，那么按照apache默认从右往左直到遇到可支持解析的文件的解析方式，那么就会把x.php.ext当成x.php来解析。

2.在绕过对文件type检查之后，我们还可以将本地的x.php文件修改为x.php1,x.php3,x.php4或者x.php5再上传，默认的apache服务器将会解析为php。

3)使用php的全等于来判断是否为php文件类型，存在漏洞

1 2 3 4

$ext = end(explode('.', $_FILES["file"]["name"])); if($ext === 'php'){         exit('error');   }

3.1分析:

我们知道在php语法中全等于”===”的作用是先判断等号左右两边的数据类型是否一样，再判断等号两边的值是否相等，如果都相等返回true，否者返回false。

3.2利用:

在明白全等于”===”的判断原理之后，我们就可以进行利用了，还是以本地的x.php举例，我们可以将x.php修改为Php, x.PHp, PHP...在绕过对type的检测之后再上传，以上传的x.PHP来分析，首先上传截获到的是PHP后缀，此时$ext=PHP，再将进行下一步的验证，$ext和php都是相同的数据类型，但是在验证它们值时却不相等，从而绕过上传。

而默认的web应用程序都是默认将Php，x.PHp,PHP...解析为php执行。

4)对上传文件内容没有做检测，存在漏洞

4.1分析:

从upload.php源代码分析来看，在整个过程没有对上传文件内容进行检测，过滤和处理，可以通过上传图片木马或其他方式来到达恶意上传的目的。

4.2利用:

1.如果的网站是用Nginx的Web应用程序且版本 <8.03，那我们就可以利用Nginx默认开启Fast-CGI而造成的畸形解析漏洞，以下是具体利用方式说明。在默认Fast-CGI开启状况下,我们可以上传一个名为x.jpg，其内容为

1	<?PHP fputs(fopen('shell.php','w'),'<?php eval($_POST[cmd])?>');?>

的文件，之后我们再访问x.jpg/.php这个网站路径,在这个目录下就会生成一句话木马shell.php。

2.如果的网站是用Nginx的Web应用程序且版本在(0.5.，0.6.，0.7，0.8<=0.7.65<=0.8.37)其中，那我们还可以利用Nginx空字节代码执行漏洞来达到上传任意恶意代码并执行。具体利用方法是：将x.jpg图片中嵌入PHP代码然后通过访问x.jpg%00.php来执行其中的恶意代码。

3.如果网站的Apache Web应用程序中.htaccess可被执行且可被上传，那可以尝试在.htaccess中写入:
<FilesMatch "example.jpg"> SetHandler application/x-httpd-php 
这段代码的意思就是将把目录下的所有后缀为jpg的文件当做可执行的php脚本进行解析并执行。因此，我们可以上传一个x.jpg的木马, 这样x.jpg就可解析为php文件。

转载请注明来自4ido10n's Blog文章《尽最大可能分析上传源码及漏洞利用方式》