1 普通文件上传功能实现
新建1个aspx文件,在form里添加如下代码:
<asp:FileUpload ID="fileupload1" runat="server" />
<asp:Button ID="btnUpload" Text="Upload" runat="server" OnClick="btnUpload_Click" />
后台编写如下代码:
protected void btnUpload_Click(object sender, EventArgs e)
{
string filePath = Server.MapPath("./Upload/") + fileupload1.FileName;
fileupload1.SaveAs(filePath);
}
基本上传功能就搞定了。
2 漏洞演示
先准备一个aspx文件,里面只有1行:
<%=DateTime.Now %>
我们用浏览器上传这个文件,到服务器目录一看,文件已上传成功了。
现在请求如下地址:
http://localhost/Test/Upload/Test.aspx
可以看到,这个ASPX文件已经被IIS执行了,和我们写的aspx文件没有区别。
如果这个文件包含恶意代码,服务器将被攻击。
3 原理总结
这个漏洞的主要原因只有1个,上传的文件被iis当成ASPX文件执行了。
如果iis不执行,将什么问题也没有,为什么iis执行了这个文件呢?有2点:
第一:文件在网站的目录下。
第二:文件的扩展名为aspx,是iis可执行的文件名。
符合这2点,用户发出请求,iis就去执行了。
4 解决方案
很多文章谈到此漏洞时,都大谈特谈怎么控制用户传上来的文件,有文件名检查啦,有文件内容验证了,有抓包工具了,等等,在此我想说,为什么不考虑下第一点?为什么把文件放在这个网站的目录下面呢?如果第一点不满足,即便是aspx文件又怎么样呢,是exe文件又怎么样呢?
上传文件的需求是传上去后要使用,上传文件存盘的目录直接挂在网站目录下,用户传上去就立刻能用了,简单方便。这样做有漏洞,怎么办呢?最简单的方法就是:
在IIS 里对上传目录 配置不执行任何脚本和扩展。这样即便传上来的aspx文件也不会被执行。
另外一点,就是文件存盘时的路径直接定死,直接等于 指定的目录 + uuid,不要有任何使用外部变量的运算在里面,比如取传上来的文件名,比如取客户的Id,等等,不给攻击者任何把文件传到其他目录的机会。 简单粗暴直接有效。
附:
1 我们没有编写上传功能,会有这个漏洞吗?
是否用了其他有上传功能的第三方组件呢?比如ckEditor,如果有,请把它们存盘的目录的权限设定一下。
2 我们使用的AjaxUpload上传,是无刷新上传,也有这个漏洞吗?
重点不是前端使用什么技术,重点是传上来的文件是否可以被IIS执行!我们的设定目的也是让上传上来的文件不能被执行。
如果使用的不是IIS,是其他编程语言的环境,一样按此思路处理,都能收到事半功倍的效果。
