文件上传及验证绕过

文件上传及验证绕过

文件上传常见点

上传头像
上传相册
上传附件
添加文章图片
前台留言资料上传
编辑器文件上传
......

客户端—JS绕过

docker pull cuer/upload-labs
docker run -d -p 8082:80  cuer/upload-labs

43.136.41.84:8082    Pass-01

Upload-labs（Pass-01）源码分析,通过验证发现是前端JS验证。而前端验证，几乎没有什么防护作用

禁用JS

浏览器直接禁用JS，先按F12，然后按F1，找到禁用JS

phpinfo

<?php phpinfo();?>

PHP一句话木马

<?php eval(@$_GET['a']);?>

直接上传php木马,上传成功

浏览器访问shell

<?php eval(@$_POST['a']);?>

后缀名绕过

修改前端代码

服务端黑名单绕过

特殊可解析后缀

Upload-labs（Pass-03）根据源码可以看出，只是做了个简单的后缀名黑名单，识别上传文件的类型是 否为 '.asp','.aspx','.php','.jsp' 中的一个，若是其中的一个，则不允许上传。

但是可以上传其他任意后缀。比如说:. phtml .phps .php5 .pht ，但如果上传的是.php5这种类型文 件，想要被当成php执行的话，需要有个前提条件：即Apache的httpd.conf有如下配置代码（靶场环境 未配置好，仅做上传测试）。

AddType application/x-httpd-php .php .phtml .phps .php5 .pht

所以由于服务端采用黑名单的过滤方式，这里可以使用php3或者php5后缀上传，直接修改后缀名，上 传成功

右键“复制图像链接”则为shell的链接(此靶机环境测试未解析，仅作上传测试即可)

http://43.136.41.84:8082/upload/202302201306229890.php3

大小写绕过（√）

http://43.136.41.84:8082/upload/202302201312386311.Php

Upload-labs（Pass-06）通过查看源码可以发现，虽然设置了黑名单对常见的后缀进行过滤，但并未对 后缀名大小写进行统一。可以利用大小写进行绕过。例如：.PHp

点绕过（√）

Upload-labs（Pass-08）分析代码没有去除点，直接在文件后面加上点

空格绕过

Upload-labs（Pass-07）通过代码分析没有去空格，在文件后缀加空格后上传

配合解析绕过

Upload-labs（Pass-10）

这一关的思路是它没有循环验证，也就是说这些首尾去空，删除末尾的点，去除字符串:$SDATA，转换 为小写这些东西只是验证了一次，所以绕过思路也很简单：在数据包中把后缀名改为.php. .（两个点之 间有个空格）

验证过程：首先系统发现最后有一个点，这时会把它去掉，又发现有一个空格，也会把它去掉，这时还 有一个点，也就是.php. 由于系统只验证一次，所以不会再去掉剩下的点，这时就可以上传成功。

.htaccess文件绕过（√）

在利用.htaccess文件之前，我们先来了解一下什么是.htaccess规则文件。

.htaccess文件(或者"分布式配置文件"）全称是Hypertext Access(超文本入口)。

提供了针对目录改变配置的方法， 即 在一个特定的文档目录中放置一个包含一个或多个指令的文件， 以作用于此目录及其所有子目录。作为用户，所能使用的命令受到限制。

htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可
以帮我们实现：
网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列
表、配置默认文档等功能。上传.htaccess文件，来绕过黑名单。
前提条件
1.mod_rewrite模块开启。
2.AllowOverride All

Upload-labs（Pass-04）源码分析，这个比03增加了黑名单量。但是，中间件为Apache的情况下，黑 名单未校验htaccess文件，导致可上传htaccess文件，绕过黑名单检测。

::$DATA绕过

在Windows中，如果文件名+"::$DATA"会把::$DATA之后的数据当成文件流处理，不会检测后缀名，且 保持::$DATA之前的文件名。使用它的目的就是不检查后缀名，例如：

phpinfo.php::$DATA

Windows会自动去掉末尾的::$DATA变成 phpinfo.php Upload-labs（Pass-09）抓包修改文件后缀

双写后缀名绕过（√）

Upload-labs（Pass-11）从源码中可以发现，源码中定义了黑名单列表，我们上传文件的后缀名凡是符 合黑名单中任意一个后缀都会被替换为空，那么我们可以利用双写后缀的方式进行绕过。例如：

phpinfo.pphphp 替换后变成 phpinfo.php

服务端白名单绕过

MIME类型检测绕过（√）

pass02

%00截断绕过（√）

截断条件： 1、php版本小于5.3.4 2、php.ini的magic_quotes_gpc为OFF状态

在windows系统中搭建环境，选择php版本为5.2，打开php.ini 文件，设置 magic_quotes_gpc = OFF

http://192.168.226.134/upload-labs/

docker pass12

/

php pass11

将%00解码

注意： %00的使用是在路径上！ %00的使用是在路径上！ %00的使用是在路径上！ 重要的话说三遍。如果在文件名上使用，就无法正常截断了。 %00只能用在路径上，这个路径可能在post数据包中，也可能在url中，所以在这些地方使用%00进行截 断处理，这样服务器在对文件名进行检测之后，就会把路径跟文件名拼接在一起，这时候%00就开始发 挥作用了。

服务端内容检查绕过

文件头检查（√）

.jpg FF D8 FF E0 00 10 4A 46 49 46
.gif 47 49 46 38 39 61
.png 89 50 4E 47

突破getimagesize及exif_imagetype（√）

pass15 pass16

二次渲染绕过（√）

???

二次渲染：就是根据用户上传的图片，新生成一个图片，将原始图片删除，将新图片添加到数据库中。比如一些网站根据用户上传的头像生成大中小不同尺寸的图像

Upload-labs（Pass-17）这一关比较综合，判断了后缀名、content-type，以及利用 imagecreatefromgif判断是否为gif图片，最后再做了一次二次渲染。可以看到，这里先是判断 Content-Type，然后再用imagecreatefrom[gif|png|jpg]函数判断是否是图片格式，如果是图片的话 再用image[gif|png|jpg]函数对其进行二次渲染。我们可以上传一个正常的图片文件，观察其上传前和 上传后图片的二进制流是否发生变化

GIF

渲染前后的两张 GIF，没有发生变化的数据块部分直接插入 Webshell 即可

PNG

没有 GIF 那么简单，需要将数据写入到 PLTE 数据块 或者 IDAT 数据块

JPG

需要使用脚本将数据插入到特定的数据块，而且可能会不成功，所以需要多次尝试

无法上传，经过比较发现，要将木马代码写在蓝色区域

include.php?file=

代码逻辑（条件竞争）

pass18

<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST["magedu"])?>');?>

总结

**文件上传漏洞安全防御 **

三个关键条件：能不能上传上去，传到哪，能不能运行

1、文件上传的目录设置为不可执行

只要web容器无法解析该目录下面的文件，即使攻击者上传了脚本文件，服务器本身也不会受到影响。

2、判断文件类型

在判断文件类型时，可以结合使用MIME Type、后缀检查等方式。在文件类型检查中，强烈推荐白名单 方式，黑名单的方式已经无数次被证明是不可靠的。此外，对于图片的处理，可以使用压缩函数或者 resize函数，在处理图片的同时破坏图片中可能包含的HTML代码。

3、使用随机数改写文件名和文件路径

文件上传如果要执行代码，则需要用户能够访问到这个文件。在某些环境中，用户能上传，但不能访 问。如果应用了随机数改写了文件名和路径，将极大地增加攻击的成本。再来就是像shell.php.rar.rar 和crossdomain.xml这种文件，都将因为重命名而无法攻击。

4、使用安全设备防御

文件上传攻击的本质就是将恶意文件或者脚本上传到服务器，专业的安全设备防御此类漏洞主要是通过 对漏洞的上传利用行为和恶意文件的上传过程进行检测。恶意文件千变万化，隐藏手法也不断推陈出 新，对普通的系统管理员来说可以通过部署安全设备来帮助防御