洞悉互聯(lián)網(wǎng)前沿資訊,探尋網(wǎng)站營(yíng)銷規(guī)律
作者:狐靈科技 | 2020-03-09 17:38 |點(diǎn)擊:
文件上傳漏洞是我們平時(shí)滲透過程中經(jīng)常利用的漏洞,利用文件上傳我們可以直接得到webshell,是非常直接的攻擊方式。寫這篇文章主要是想對(duì)常見的文件上傳檢測(cè)和繞過進(jìn)行總結(jié),同時(shí)練習(xí)文件上傳php代碼的編寫。
以下上傳測(cè)試使用的HTML表單的代碼為:
<html>
<head>
<title>File Upload</title>
<meta charset="utf-8">
</head>
<body>
<form action="upload.php" method="POST" enctype="multipart/form-data">
<input type="hidden" name="MAX_FILE_SIZE" value="1000000">
選擇文件: <input type="file" name="myfile">
<input type="submit" value="Upload">
</form>
</body>
</html>
前端一般都是使用js來限制我們的上傳類型和文件大小,這里以u(píng)pload-labs Pass-01的源碼為例:
function checkFile() {
var file = document.getElementsByName('upload_file')[0].value;
if (file == null || file == "") {
alert("請(qǐng)選擇要上傳的文件!");
return false;
}
//定義允許上傳的文件類型
var allow_ext = ".jpg|.png|.gif";
//提取上傳文件的類型
var ext_name = file.substring(file.lastIndexOf("."));
//判斷上傳文件類型是否允許上傳
if (allow_ext.indexOf(ext_name + "|") == -1) {
var errMsg = "該文件不允許上傳,請(qǐng)上傳" + allow_ext + "類型的文件,當(dāng)前文件類型為:" + ext_name;
alert(errMsg);
return false;
}
}
對(duì)于前端的檢測(cè)我們可以抓包來修改文件類型,也可以禁用掉JavaScript??傊挥星岸说南拗剖欠浅2话踩?,非常容易被繞過。
后端代碼大致為:
<?php
$allow_content_type = array("image/gif", "image/png", "image/jpeg");
$path = "./uploads";
$type = $_FILES["myfile"]["type"];
if (!in_array($type, $allow_content_type)) {
die("File type error!<br>");
} else {
$file = $path . '/' . $_FILES["myfile"]["name"];
if (move_uploaded_file($_FILES["myfile"]["tmp_name"], $file)) {
echo 'Success!<br>';
} else {
echo 'Error!<br>';
}
}
?>
繞過方法:
抓包將content-type
改為圖片形式(即'image/png'等),即可成功上傳
后端代碼大致為:
<?php
$allow_mime = array("image/gif", "image/png", "image/jpeg");
$imageinfo = getimagesize($_FILES["myfile"]["tmp_name"]);
$path = "./uploads";
if (!in_array($imageinfo['mime'], $allow_mime)) {
die("File type error!<br>");
} else {
$file = $path . '/' . $_FILES["myfile"]["name"];
if (move_uploaded_file($_FILES["myfile"]["tmp_name"], $file)) {
echo 'Success!<br>';
} else {
echo 'Error!<br>';
}
}
?>
此時(shí)雖然檢查的也是文件類型,但是是使用getimagesize()
函數(shù)來獲取文件的MIME類型,此時(shí)檢測(cè)的不是數(shù)據(jù)包中的content-type
,而是圖片的文件頭,常見的圖片文件頭如下:
gif(GIF89a) : 47 49 46 38 39 61
jpg、jpeg : FF D8 FF
png : 89 50 4E 47 0D 0A
繞過方法:
當(dāng)上傳php文件時(shí),可以使用winhex、010editor等十六進(jìn)制處理工具,在數(shù)據(jù)最前面添加圖片的文件頭,從而繞過檢測(cè)
后端代碼大致為:
<?php
// 實(shí)際情況中黑名單內(nèi)數(shù)據(jù)會(huì)更多更全面
$blacklist = array('php', 'asp', 'aspx', 'jsp');
$path = "./uploads";
$type = array_pop(explode('.', $_FILES['myfile']['name']));
if (in_array(strtolower($type), $blacklist)) {
die("File type errer!<br>");
} else {
$file = $path . '/' . $_FILES['myfile']['name'];
if (move_uploaded_file($_FILES['myfile']['tmp_name'], $file)) {
echo 'Success!<br>';
} else {
echo 'Error!<br>';
}
}
?>
眾所周知使用黑名單是非常不安全的,很多網(wǎng)站會(huì)使用擴(kuò)展名黑名單來限制上傳文件類型,有些甚至在判斷時(shí)都不用strtolower()
來處理,因此造成漏洞
繞過方法:
大致代碼如下,與黑名單檢測(cè)沒有太大差別:
<?php
$whitelist = array('png', 'jpg', 'jpeg', 'gif');
$path = "./uploads";
$type = array_pop(explode('.', $_FILES['myfile']['name']));
if (!in_array(strtolower($type), $whitelist)) {
die("File type errer!<br>");
} else {
$file = $path . '/' . $_FILES['myfile']['name'];
if (move_uploaded_file($_FILES['myfile']['tmp_name'], $file)) {
echo 'Success!<br>';
} else {
echo 'Error!<br>';
}
}
白名單相對(duì)與黑名單就安全許多,要求只能是特定擴(kuò)展名的文件才能上傳,雖然我們無法從代碼層面來繞過,但這樣也不是絕對(duì)的安全,可以利用其他漏洞來繞過
繞過方法:
這種主要是將文件中的敏感字符替換掉,大致代碼類似于下面這樣:
<?php
$path = "./uploads";
$content = file_get_contents($_FILES['myfile']['tmp_name']);
$content = str_replace('?', '!', $content);
$file = $path . '/' . $_FILES['myfile']['name'];
if (move_uploaded_file($_FILES['myfile']['tmp_name'], $file)) {
file_put_contents($file, $content);
echo 'Success!<br>';
} else {
echo 'Error!<br>';
}
?>
此時(shí)如果我們要上傳php的一句話<?php @eval($_POST['shell']);?>
時(shí),php的語言標(biāo)記中的?
會(huì)被替換為!
,這樣一句話就不能被執(zhí)行了
繞過方法:
主要還是要根據(jù)實(shí)際過濾的字符來判斷,如果寫死的話可能是沒辦法的(一般不會(huì),因?yàn)檫€要兼顧圖片上傳)
比如過濾掉問號(hào),我們就可以使用<script language='php'>system('ls');</script>
這樣的一句話。具體方法要看實(shí)際代碼過濾了哪些字符。
我們以u(píng)pload-labs Pass-16的源碼為例:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
// 獲得上傳文件的基本信息,文件名,類型,大小,臨時(shí)文件路徑
$filename = $_FILES['upload_file']['name'];
$filetype = $_FILES['upload_file']['type'];
$tmpname = $_FILES['upload_file']['tmp_name'];
$target_path=UPLOAD_PATH.'/'.basename($filename);
// 獲得上傳文件的擴(kuò)展名
$fileext= substr(strrchr($filename,"."),1);
//判斷文件后綴與類型,合法才進(jìn)行上傳操作
if(($fileext == "jpg") && ($filetype=="image/jpeg")){
if(move_uploaded_file($tmpname,$target_path)){
//使用上傳的圖片生成新的圖片
$im = imagecreatefromjpeg($target_path);
if($im == false){
$msg = "該文件不是jpg格式的圖片!";
@unlink($target_path);
}else{
//給新圖片指定文件名
srand(time());
$newfilename = strval(rand()).".jpg";
//顯示二次渲染后的圖片(使用用戶上傳圖片生成的新圖片)
$img_path = UPLOAD_PATH.'/'.$newfilename;
imagejpeg($im,$img_path);
@unlink($target_path);
$is_upload = true;
}
} else {
$msg = "上傳出錯(cuò)!";
}
...
大致意思是后端調(diào)用了php的GD庫,提取了文件中的圖片數(shù)據(jù),然后再重新渲染,這樣圖片中插入的惡意代碼就會(huì)被過濾掉了
我自己在測(cè)試時(shí)發(fā)現(xiàn)不管是直接修改文件頭來制作的圖片馬,還是利用copy
命令制作的圖片馬,都無法避免其中的一句話被過濾掉。
而看了一篇文章發(fā)現(xiàn)其實(shí)要把一句話插入到圖片數(shù)據(jù)中,這樣經(jīng)過渲染后這部分?jǐn)?shù)據(jù)還是會(huì)保留下來。大家可以看一下作為參考:https://secgeek.net/bookfresh-vulnerability/
在IIS6.0中有兩個(gè)很重要的asp解析漏洞:
這個(gè)其實(shí)不能算IIS的洞,它其實(shí)是php的解析漏洞,這個(gè)漏洞利用條件是服務(wù)器在php.ini中將cgi.fix_pathinfo
的值設(shè)置為1
然后當(dāng)我們?cè)L問服務(wù)器上任意一個(gè)文件時(shí)(如:http://test.com/a.jpg),當(dāng)我們?cè)赨RL后面添加`.php`(即:http://test.com/a.jpg/.php),那么文件a.jpg就將被作為php文件來解析
在了解這個(gè)解析漏洞之前,我們要首先了解apache和php的三種結(jié)合方式:
Apache和php三種結(jié)合方式:
1.CGI
2.Module
3.FastCGI
該解析漏洞只有在apache和php以Module方式結(jié)合時(shí)才存在,而且Apache還有一個(gè)特性:
Apache在解析文件時(shí)會(huì)以文件名從右向左解析,當(dāng)最后一個(gè)擴(kuò)展名無法識(shí)別時(shí),就會(huì)向左查看是否有可以識(shí)別的文件名,如果沒有的話就以配置中的默認(rèn)文件類型來解析
例如:
a.php.xxx因?yàn)閤xx無法識(shí)別,而左邊的php可識(shí)別,就會(huì)被解析為php文件
因此,如果上傳文件名為a.php.xxx的一句話,訪問后就很可能拿到shell
還有一個(gè)apache的解析漏洞就是CVE-2017-15715,這個(gè)漏洞利用方式就是上傳一個(gè)文件名最后帶有換行符(只能是\x0A
,如上傳a.php,然后在burp中修改文件名為a.php\x0A
),以此來繞過一些黑名單過濾
具體的漏洞分析可以看p牛:https://www.leavesongs.com/PENETRATION/apache-cve-2017-15715-vulnerability.html
這個(gè)多數(shù)被利用在截?cái)嗦窂剑玫臈l件是:
PHP < 5.3.4
magic_quotes_gpc 關(guān)閉
因?yàn)?code style="padding: 0.2em 0px; font-family: Consolas, "Liberation Mono", Menlo, Courier, monospace; font-size: 12.75px; color: rgb(221, 17, 68); border-radius: 3px; background-color: rgba(0, 0, 0, 0.04); box-sizing: border-box; margin: 0px; word-break: break-all; border: none !important;">0x00是字符串的結(jié)束標(biāo)志符,所以php在讀取到0x00
時(shí)就不會(huì)再往后讀取,我們可以利用這些截?cái)嘧址竺娌恍枰膬?nèi)容
以u(píng)pload-labs的Pass-12為例,源碼如下:
$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
$ext_arr = array('jpg','png','gif');
$file_ext = substr($_FILES['upload_file']['name'],strrpos($_FILES['upload_file']['name'],".")+1);
if(in_array($file_ext,$ext_arr)){
$temp_file = $_FILES['upload_file']['tmp_name'];
$img_path = $_POST['save_path']."/".rand(10, 99).date("YmdHis").".".$file_ext;
if(move_uploaded_file($temp_file,$img_path)){
$is_upload = true;
} else {
$msg = '上傳出錯(cuò)!';
}
} else{
$msg = "只允許上傳.jpg|.png|.gif類型文件!";
}
}
由于是白名單限制了上傳文件類型,因此我們無法在文件名處做文章。但最終move_uploaded_file()
的目標(biāo)目錄是我們可控的,我們可以將POST傳入的save_path
改為../upload/shell.php%00
,這樣后面的內(nèi)容就會(huì)被截?cái)嗟簦@就導(dǎo)致了任意文件上傳
還要注意的是%00
是url編碼,在以POST傳參時(shí)應(yīng)該使用burpsuite對(duì)其進(jìn)行url decode,或者修改hex值為00;而當(dāng)GET傳參時(shí)因?yàn)闉g覽器會(huì)做一遍url decode,所以直接傳%00
即可。
.htaccess文件(或者"分布式配置文件"),全稱是Hypertext Access(超文本入口)。提供了針對(duì)目錄改變配置的方法, 即,在一個(gè)特定的文檔目錄中放置一個(gè)包含一個(gè)或多個(gè)指令的文件, 以作用于此目錄及其所有子目錄。作為用戶,所能使用的命令受到限制。管理員可以通過Apache的AllowOverride指令來設(shè)置。
利用.htaccess的條件:Apache中配置AllowOverride All
.htaccess文件可以配置將特定的文件按規(guī)定的文件類型進(jìn)行解析,可以用以下兩種方式來配置:
<FilesMatch "test">
SetHandler application/x-httpd-php
</FilesMatch>
這一種采用正則匹配,只要文件名為test的文件都將被作為php文件解析
AddType application/x-httpd-php .jpg
第二種是將.jpg文件都作為php文件解析
這樣我們?nèi)绻軐?htaccess上傳到服務(wù)器的話,就可以再根據(jù)我們自己設(shè)定的規(guī)則來解析上傳的文件,以此來繞過上傳過濾
常見的文件上傳的檢測(cè)和繞過方式基本是以上幾種。在實(shí)戰(zhàn)或CTF比賽中往往是幾種類型的結(jié)合,因此繞過也需要幾種方式的結(jié)合。
首先我認(rèn)為最重要的是前期的信息收集,服務(wù)器的類型、版本,使用的腳本語言、版本,只要做到對(duì)這些很清楚后才能考慮之后能否利用一些如%00截?cái)?、服?wù)器解析漏洞來進(jìn)行文件上傳。
在測(cè)試時(shí),一般我們都先要fuzz看一下檢測(cè)是哪種類型,是前端還是后端?黑名單還是白名單?上傳后的shell能否被成功執(zhí)行?是否有文件內(nèi)容的檢測(cè)?
如果是黑名單的話,就要嘗試各種特殊文件名(php、Php、PHP、pht、php5、phtml),或者在擴(kuò)展名后添加空格、::$DATA、.等字符,再或者是嘗試上傳.htaccess
如果是白名單,就要看是否可以使用%00截?cái)?,或者利用服?wù)器的解析漏洞。如果真的過濾很死的話,不妨再找一下目標(biāo)的文件包含漏洞,嘗試?yán)梦募瑏斫馕鰣D片馬。
個(gè)人認(rèn)為現(xiàn)在文件上傳在代碼層除了邏輯問題外已經(jīng)很少有漏洞了,大多數(shù)情況下都是利用服務(wù)器解析漏洞等來getshell,這篇文章也只是作為自己入門文件上傳的總結(jié)。如果有錯(cuò)誤,請(qǐng)各位師傅指正。