tco gac VM lse gen jsb html env and

文件上傳之繞過

---

一般防止上傳漏洞手法 1、客戶端檢測：客戶端使用JavaScript檢測，在文件未上傳時，就對文件進行驗證 //任何客戶端的驗證都是不安全的，客戶端驗證目的是防止用戶輸入錯誤、減少 //服務器開銷，而服務端驗證才可以真正防禦攻擊者。 2、服務器端檢測：服務端腳本一般會檢測文件的MIME類型，檢測文件擴展名是否合法

客戶端檢測

客戶端驗證代碼形如下：

<html lang="en"> <head> <meta charset="UTF-8"> <title>圖片上傳</title> <script type="text/javascript"> function checkFile() { var flag = false; var str = document.getElementById("file").value; str = str.substring(str.lastIndexOf(‘.‘) + 1); var arr = new Array(‘png‘,‘bmp‘,‘gif‘,‘jpg‘); for(var i=0;i<arr.length;i++) { if(str==arr[i]) { flag = true; } } if(!flag) { alert(‘文件不合法！‘); } return flag; } </script> </head> <body> <form action="upload.php" method="post" onsubmit="checkFile()" enctype="multipart/form-data"> <input type="file" name="file" id="file" /><br/> <input type="submit" value="提交" name="submit" /> </form> </body> </html>

接收文件的腳本upload.php代碼如下：

<?php if(isset($_POST["submit"])) { $name = $_FILES[‘file‘][‘name‘]; $name = md5(date(‘Y-m-d h:m:s‘)).strrchr($name,"."); $size = $_FILES[‘file‘][‘size‘]; $tmp = $_FILES[‘file‘][‘tem_name‘]; move_uploaded_file($tmp,$name); echo "文件上傳成功！path：".$name; } ?>

繞過：

1、可以用firebug將form表單中的onsubmit事件刪除，這樣就可以繞過驗證。 2、使用Burp Suite： 1）先將木馬文件的擴展名改為一張正常圖片的擴展名，如1.php/asp ---> 1.jpg 2）上傳時使用Burp Suite攔截數據包，將木馬文件擴展名改為php就可繞過客戶端驗證。 註意：這裏修改文件名字後，請求頭中的Content-Length的值也要改

服務端檢測

服務端分為6項： * 黑名單與白名單驗證 * MIME驗證 * 目錄驗證 * 截斷上傳攻擊 * .htaccess文件攻擊 * 檢測文件內容

黑名單與白名單驗證

黑名單過濾方式

<?php $Blacklist = array(‘asp‘,‘php‘,‘jsp‘,‘php5‘,‘asa‘,‘aspx‘); //黑名單 if(isset($_POST["submit"])) { $name = $FILES[‘file‘][‘name‘]; //接收文件名 $extension = substr(strrchr($name, ".") , 1); //得到擴展名 $boo = false; foreach($Blaklist as $key => $value) { if($value==$extension) { //叠代判斷是否命中 $boo = true; break; //命中後直接退出循環 } } if(!$boo) { //若沒有被命中，則進行上傳操作 $size = $_FILES[‘file‘][‘size‘]; //接收文件大小 $tmp = $FILES[‘file‘][‘temp_name‘]; //臨時路徑 move_uploaded_file($tmp, $name); //移動臨時文件到當前文件目錄 } else { echo "文件不合法!!"; } } ?> 對於上面的過濾可以通過如下方法繞過：

• 從黑名單中找到web開發者忽略的擴展名，如：cer
• 沒有對擴展名進行大小寫轉換，在window平臺依然可以大小寫繞過
• 在window下，若文件名以"."或者空格作為結尾，系統會自動去除"."與空格，
  所以可以上傳以“asp.”和“asp_”為擴展名的文件
• 0x00截斷繞過
• 解析漏洞

白名單過濾方式 <?php $WhiteList = array(‘rar‘,‘jpg‘,‘png‘,‘bmp‘,‘gif‘,‘jpg‘,‘doc‘); if(isset($_POST["submit"])) { $name = $_FILES[‘file‘][‘name‘]; $extension = substr(strrchr($name,"."),1); $boo = false; foreach($WhiteList as $key => $value) { if($value==$extension) { $boo = true; } } if($boo) { $size = $_FILES[‘file‘][‘size‘]; $tmp = $_FILES[‘file‘][‘tmp_name‘]; move_uploaded_file($tmp,$name); echo "文件上傳成功！<br/>path:".$name; } else { echo "文件不合法！"; } } ?> 繞過方法： * 0x00截斷繞過 * 此時若在iis6.0，則可以將木馬名改為test.asp;1.jpg來上傳，從而通過驗證 * 配合解析漏洞

MIME驗證

對文件MIME類型做驗證的PHP代碼如下：

<?php if($_FILES[‘file‘][‘type‘]==" image/jpeg") { $imageTempName = $_FILES[‘file‘][‘tmp_name‘]; $imageName = $_FILES[‘file‘][‘name‘]; $last = substr($imageName,strrpos($imageName,".")); if(!is_dir("uploadFile")) { mkdir("uploadFile"); } $imageName = md5($imageName).$last; move_upload_file($imageTempName,"./uploadFile/".$imageName); echo("文件上傳成功！ path = /uploadFile/$imageName"); } else { echo("文件上傳類型錯誤，請重新上傳..."); exit(); } ?> 未修改MIME類型，上傳失敗：

修改MIME類型，上傳成功：

目錄驗證

文件上傳時通常允許用戶將文件放到指定的目錄中，若目錄存在則將文件寫入目錄，否則新建目錄然後寫入，若為iis6.0則可以利用這個漏洞， 客戶端上傳代碼如下：

<html> <head> <meta charset="UTF-8"> <title>up</title> </head> <body> <form action="upload.php" method="post" enctype="multipart/form-data"> <input type="file" name="file" /><br/> <input type="hidden" name="Extension" value="up" /> <input type="submit" value="提交" name="submit" /> </form> </body> </html> 服務端PHP接收文件的代碼如下： <?php if($_FILES[‘file‘][‘type‘]=="image/jpeg") { $imageTempName=$_FILES[‘file‘][‘tmp_name‘]; $imageName=$_FILES[‘file‘][‘name‘]; $last=substr($imageName,strrpos($imageName,".")); if($last!=".jpg") { echo("mime error!<br/>"); } $Extension=$_POST[‘Extension‘]; if(!is_dir($Extension)) { mkdir("./$Extension"); echo "mkidr $Extension succesfully"."<br/>"; } $imageName=md5($imageName).$last; move_uploaded_file($imageTempName,"./$Extension/".$imageName); echo("upload ok! path = /$Extension/$imageName"); } else { echo("type error..."); exit(); } ?> 查看上傳到了那個文件：

將文件改名：

截斷上傳攻擊

截斷上傳攻擊在ASP程序中比較常見(在PHP、JSP中也有) 先上傳正常後綴的圖片馬：

更改圖片名字：

截斷： 上傳成功：

.htaccess文件攻擊

通過.htaccess文件調用php解析器去解析一個文件名中只要包含"haha"這個字符串的任意文件，論擴展名是什麽(沒有也行)，都以php的方式來解析，.haccess文件代碼如下：

<FilesMatch "haha"> SetHandler application/x-httpd-php </FilesMatch> 或者如下，上傳一個文件名為evil.gif的圖片馬： <FilesMatch "evil.gif"> SetHandler application/x-httpd-php </FilesMatch>

檢測文件內容

文件幻數檢測在文件首部加上如下幻數，後面跟一句話木馬即可

JFIF FF D8 FF E0 00 10 4A 46 49 46 GIF89a 47 49 46 38 39 61 PNG 89 50 4E 47 文件相關信息檢測 通常用的getimagesize()函數，只需要在幻數基礎上加一些文件信息就行了，如下： GIF89a (...some binary data for image...) <?php phpinfo(); ?> (... skipping the rest of binary data ...) 文件加載檢測 服務端會調用API或函數對文件進行加載測試，常見的是圖像渲染測試，變態的甚至是二次渲染： 對渲染/加載測試的攻擊方式是代碼註入繞過 對二次渲染的攻擊方式是攻擊文件加載器本身

補充

除了上述的.htaccess文件攻擊，還可以用.user.ini進行文件攻擊 當中間鍵是以fastcgi運行的php都可以用這個方法，.user.ini能被動態加載，它也有兩個配置項： auto_append_file和auto_prepend_file，只要在.user.ini中添加auto_prepend_file=aa.jpg 這句話，就可以讓其他php文件執行前自動包含aa.jpg，和require()類似。

1.1 文件上傳之繞過驗證