文件上传漏洞知识点
首先,我们知道SQL注入攻击的对象是数据库,文件上传的漏洞对象是web服务;两者结合可以达到对目标的深层控制。
一、文件上传漏洞
1、文件上传漏洞原理
**文件上传漏洞的原理:**就是未对用户上传的文件进行检查和过滤,导致某些别有用心的用户上传了一些恶意代码或文件(asp、php、jsp等),从而控制了网站。(当文件上传时,如果服务端的脚本语言没有对上传的文件进行检查和过滤,那假如,渗透者直接上传恶意代码文件,那么就有可能直接控制整个网站,或者说以此为跳板,直接拿下服务器,这就是文件上传漏洞。)
Web应用程序通常会有文件上传的功能,例如,在BBS发布照片、在个人网站发布压缩包等。只要web应用程序允许上传文件,就有可能存在文件上传漏洞。
上传漏洞与sql注入漏洞相比,其风险更大。如果web应用程序存在上传漏洞,攻击者甚至可以上传一个webshell到服务器上。非法用户可以利用上传webshell,webshell脚本具有非常强大的功能,比如查看服务器目录、服务器中的文件,执行系统命令等。
一般文件上传的流程如下:
- 前端选择文件,进行提交。
- 浏览器形成POST MultiPart报文发送到服务器。
- 服务器中间件接收到报文,解析后交给相关后端代码进行处理。
- 后端代码将上传的文件内容写入到临时文件中(php持有)。
- 写入到文件中,文件名为提交的文件名或以一定规则生成的文件名。
2、文件上传漏洞存在前提
1.存在上传点。
2.可以上传动态文件。
3.上传目录有执行权限,并且上传的目录可执行。
4.可访问到上传的动态文件。
或者说
1.文件上传功能能正常使用。
2.上传文件路径可知。
3.上传文件可以被访问。
4.上传文件可以被执行或被包含。
3、防止文件上传漏洞的方法
1,前端判断上传文件的类型
2,后端判断文件mime类型
3,后端判断文件的后缀名
二、解析漏洞
**文件解析漏洞:**主要由于网站管理员操作不当或者 Web 服务器自身的漏洞,导致一些特殊文件被 IIS、apache、nginx 或其他 Web服务器在某种情况下解释成脚本文件执行。比如网站管理员配置不当,导致php2、phtml、ascx等等这些文件也被当成脚本文件执行了。甚至某些情况下管理员错误的服务器配置导致.html、.xml等静态页面后缀的文件也被当成脚本文件执行。但是,大部分的解析漏洞还是由于web服务器自身的漏洞,导致特殊文件被当成脚本文件执行了。
攻击者再利用上传漏洞时,通常会与web容器的解析漏洞配合在一起。所以我们首先要了解解析漏洞,这样才能更深入地了解上传漏洞,并加以防范。
常见的web容器:IIS、Nginx、Apache、Tomcat,WebLogic、WebSphere、JBoss等
Web容器:是一种服务程序,给处于其中的应用程序组件提供环境,使其直接跟容器中的环境变量交互,不必关注其它系统问题。主要由应用服务器来实现,如Tomcat、JBoss、Weblogic、WebSphere等。
Web应用程序需要部署到Web容器中才能运行,两者都必须符合J2EE规范。
1、IIS解析漏洞
①目录解析漏洞(文件夹解析漏洞):
在IIS5.x/6.0中,在网站下建立文件夹的名字为***.asp、.asa、.cer、*.cdx** 的文件夹,那么其目录内的任何扩展名的文件都会被IIS当做asp文件来解释并执行。例如创建目录test.asp,那么 /test.asp/1.jpg 将被当做asp文件来执行。假设黑客可以控制上传文件夹路径,就可以不管上传后你的图片改不改名都能拿shell了。
②文件名解析漏洞(扩展名解析漏洞):
在IIS5.x/6.0 中,分号后面的不被解析,也就是说 test.asp;1.jpg 会被服务器看成是test.asp。还有IIS6.0默认的可执行文件除了asp还包含这两种 .asa .cer 。而有些网站对用户上传的文件进行校验,只是校验其后缀名。所以我们只要上传 .asp;.jpg、.asa;.jpg、*.cer;.jpg 后缀的文件,就可以通过服务器校验,并且服务器会把它当成asp文件执行。
③畸形解析漏洞:
微软发布了IIS7.0修补了IIS6.0的解析漏洞,没想到IIS7.0爆出更严重的畸形解析漏洞,于是微软急忙发布了IIS7.5
在 IIS7.0中,在默认Fast-CGI开启状况下,我们往图片里面写入下面的代码
<?php fputs(fopen('shell.php','w'),'<?php @eval($_POST[x])?>')?>
将文件保存成test.jpg格式,上传到服务器,假设上传路径为/upload,上传成功后,直接访问/upload/test.jpg/x.php,此时神奇的畸形解析开始发挥作用啦。test.jpg将会被服务器当成php文件执行,所以图片里面的代码就会被执行。我们会神奇的发现在 /upload 目录下创建了一个一句话木马文件 shell.php 。
临时解决办法:设置 cgi.fix_pathinfo为0
这个解析漏洞和下面讲的Nginx的解析漏洞是一样的。
④其他解析:
在windows环境下,xx.jpg[空格] 或xx.jpg. 这两类文件都是不允许存在的,若这样命名,windows会默认除去空格或点,黑客可以通过抓包,在文件名后加一个空格或者点绕过黑名单。若上传成功,空格和点都会被windows自动消除。
2、Apache解析漏洞
Apache在解析文件是有一个规则:当碰到不认识的扩展名时,将会从后向前解析,直到碰到认识的扩展名为止;如果不认识,则会暴露码源。
如:1.php.rar.xs.aa
Apache首先会先解析aa扩展名,如果不认识,将会解析xs扩展名,这样一直遍历到认识的扩展名为止,然后将其进行解析。
Apache认识的扩展名,可以在Apache安装目录下“/conf/mime.types”文件中有详细的扩展名列表。
其修复方法:
Apache配置中,禁止xx.php.xxx类似的文件执行
<Files ~ "/.(php.|php3.)">
Order Allow,Deny
Deny from all
</Files>
.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过 .htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能IIS平台上不存在该文件,该文件默认开启,启用和关闭在 httpd.conf 文件中配置。
.htaccess 文件生效前提条件为
· mod_rewrite 模块开启
· AllowOverride All
#1:这个.htaccess的意思就是把所有名字里面含有shell的文件当成php脚本来执行
<FilesMatch “shell”>
SetHandler application/x-httpd-php
#2:这里代码的意思可以让 .jpg后缀名文件格式的文件名以php格式解析
AddType application/x-httpd-php .jpg
3、Nginx解析漏洞
漏洞成因:
php的配置文件 php.ini 文件中开启了 cgi.fix_pathinfo
/etc/php5/fpm/pool.d/www.conf中不正确的配置security.limit_extensions,导致允许将其他格式文件作为php解析执行。
在nginx<0.8.03环境中,我们新建一个文件,内容为:<?php phpinfo() ?> ,然后将其名字修改为:test.jpg,在浏览器中访问http://192.168.10.139/test.jpg 显示图片解析错误。在浏览器中访问 http://192.168.10.139/test.jpg/test.php ,显示:Access denied.。这就奇怪了,test.jpg是文件不是目录,test.php更是根本就不存在的文件,访问/test.jpg/test.php没有报404,而是显示 Access denied. 。这是到底为啥?
原因在于,Nginx拿到文件路径(更专业的说法是URI)/test.jpg/test.php 后,一看后缀是.php,便认为该文件是php文件,于是转交给php去处理。php一看 /test.jpg/test.php 不存在,便删去最后的/test.php,又看/test.jpg存在,便把/test.jpg当成要执行的文件了,又因为后缀为.jpg,php认为这不是php文件,于是返回 Access denied. 。
这其中涉及到php的一个选项:cgi.fix_pathinfo,该值默认为1,表示开启。开启这一选项有什么用呢?看名字就知道是对文件路径进行处理。举个例子,当 php 遇到文件路径 /aaa.xxx/bbb.yyy/ccc.zzz时,若 /aaa.xxx/bbb.yyy/ccc.zzz 不存在,则会去掉最后的 /ccc.zzz ,然后判断 /aaa.xxx/bbb.yyy 是否存在,若存在,则把 /aaa.xxx/bbb.yyy 当做文件 /aaa.xxx/bbb.yyy/ccc.zzz ,若 /aaa.xxx/bbb.yyy 仍不存在,则继续去掉 /bbb.yyy ,以此类推。
该选项在配置文件 php.ini 中。若是关闭该选项,访问 http://127.0.0.1/test.jpg/test.php 只会返回找不到文件。但关闭该选项很可能会导致一些其他错误,所以一般默认是开启的。
三、文件上传绕过技巧
1、客户端校验(js校验)
一般是在网页上写一段Js脚本,用Js去检测,校验上传文件的后缀名的合法性问题。
在检查扩展名是否合法的时候,有两种策略:白名单策略和黑名单策略。
**判断方式:**在浏览加载文件,但还未点击上传按钮时便弹出对话框(进一步确定可以通过配置浏览器HTTP代理(没有流量经过代理就可以证明是客户端JavaScript检测)),内容如:只允许上传.jpg/.jpeg/.png后缀名的文件,而此时并没有发送数据包,所以可以通过抓包来判断,如果弹出不准上传,但是没有抓到数据包,那么就是前端验证。其实,也可以直接查看网页源代码,源代码中如果没有js前端效验,那么就一定是后端效验喽。
**绕过方法:**这个限制是在客户端进行的,这种限制形同虚设。上传正常文件改数据包就可以绕过,甚至关闭JS都可以尝试绕过。
将需要上传的恶意代码文件类型改为允许上传的类型,例如将shell.asp改为shell.jpg上传,配置Burp Suite代理进行抓包,然后再将文件名shell.jpg改为shell.asp 上传页面,审查元素,修改JavaScript检测函数(具体方法:可以使用firbug之类的插件把它禁掉)
黑白名单机制:
黑名单:不允许上传什么,文件扩展名在黑名单中的为不合法。
白名单:只允许上传什么,文件扩展名不在白名单中的均为不合法。
白名单比黑名单更安全。
2、服务端检测
检查Content-Type (内容类型)
检查后缀 (检查后缀是主流)
检查文件头
绕过方法:假如将webshell代码文件后缀改为其它被服务器认为是安全的后缀,再通过解析漏洞让其按照脚本文件进行解析,就达到了最终的目的。
2.1 MIME检测绕过(Content-Type检测):
MIME的作用:使客户端软件,区分不同种类的数据,例如web浏览器就是通过MIME类型来判断文件是GIF图片,还是可打印的PostScript文件。web服务器使用MIME来说明发送数据的种类,web客户端使用MIME来说明希望接收到的数据种类。
HTTP协议规定了上传资源的时候在Header中加上一项文件的MIMETYPE,来识别文件类型,这个动作是由浏览器完成的,服务端可以检查此类型不过这仍然是不安全的,因为HTTP header可以被发出者或者中间人任意的修改,不过加上一层防护也是可以有一定效果的。
**绕过方法:**配置Burp Suite代理进行抓包,将Content-Type修改为image/gif,或者其他允许的类型然后在对应目录生成shell.jpg
text/plain(纯文本)
text/html(HTML文档)
text/javascript(js代码)
application/xhtml+xml(XHTML文档)
image/gif(GIF图像)
image/jpeg(JPEG图像)
image/png(PNG图像)
video/mpeg(MPEG动画)
application/octet-stream(二进制数据)
application/pdf(PDF文档)
application/(编程语言) 该种语言的代码
application/msword(Microsoft Word文件)
message/rfc822(RFC 822形式)
multipart/alternative(HTML邮件的HTML形式和纯文本形式,相同内容使用不同形式表示)
application/x-www-form-urlencoded(POST方法提交的表单)
multipart/form-data(POST提交时伴随文件上传的表单)
2.2 服务端扩展名检测绕过:
在文件被上传到服务端的时候,对于文件名的扩展名进行检查,如果不合法,则拒绝这次上传。在检查扩展名是否合法的时候,有两种策略:黑名单策略和白名单策略。
黑名单检测:黑名单的安全性比白名单低很多,服务器端,一般会有个专门的blacklist文件,里面会包含常见的危险脚本文件类型,例如:html | htm | php | php2 | hph3 | php4 | php5 | asp | aspx | ascx | jsp | cfm | cfc | bat | exe | com | dll | vbs | js | reg | cgi | htaccess | asis | sh |phtm | shtm |inc等等。黑名单扩展名过滤,限制不够全面:IIS默认支持解析.asp | .cdx | .asa | .cer等
**绕过方法:**不被允许的文件格式.php,但是可以上传文件名为shell.php_(下划线是空格),IIS支持,linux不支持,详细见下面的特殊文件名绕过描述;
白名单检测:仅允许指定的文件类型上传,比如仅与需上传jpg | gif | doc等类型的文件,其他全部禁止。
绕过方法:
a. 文件名大小写绕过:用像 AsP,pHp 之类的文件名绕过黑名单检测
b. 后缀名双写嵌套:例如pphphp,asaspp等
c. 名单列表绕过:用黑名单里没有的名单进行攻击,比如黑名单里没有 asa 或 cer 之类
d. 特殊文件名绕过:比如发送的 http 包里把文件名改成 test.asp. 或 test.asp_(下划线为空格),这种命名方式 在 windows 系统里是不被允许的,所以需要在 burp 之类里进行修改,然后绕过验证后,会 被 windows 系统自动去掉后面的点和空格,但要注意 Unix/Linux 系统没有这个特性
e. 0x00截断:文件名后缀就一个%00字节,可以截断某些函数对文件名的判断。在许多语言函数中处理函数中,处理字符串中在扩展名检测这大部分都是 asp 的程序有这种漏洞,给个简单的伪代码
f. 二次渲染
g. 解析漏洞绕过(利用解析/包含漏洞配合上传一个代码注入过的白名单文件绕过)
1.老版本的IIS中的目录解析漏洞,如果网站目录中有一个 /.asp/目录,那么此目录下面的一切内容都会被当作asp脚本来解析。
2.老版本的IIS中的分号漏洞:IIS在解析文件名的时候可能将分号后面的内容丢弃,那么我们可以在上传的时候给后面加入分号内容来避免黑名单过滤,如 a.asp;jpg。
3.旧版Windows Server中存在空格和dot漏洞类似于 a.php. 和 a.php[空格] 这样的文件名存储后会被windows去掉点和空格,从而使得加上这两个东西可以突破过滤,成功上传,并且被当作php代码来执行。
4.nginx空字节漏洞 xxx.jpg%00.php 这样的文件名会被解析为php代码运行
5.apache的解析漏洞,上传如a.php.rar a.php.gif 类型的文件名,可以避免对于php文件的过滤机制,但是由于apache在解析文件名的时候是从右向左读,如果遇到不能识别的扩展名则跳过,rar等扩展名是apache不能识别的,因此就会直接将类型识别为php,从而达到了注入php代码的目的
2.3 服务端文件内容检测
这种方法利用的是每一个特定类型的文件都会有不太一样的开头或者标志位。可以通过比如php的exif_imagetype()函数来检测。
通过检查头几位字节,可以分辨是否是图片文件。
不同类型的文件都有对应的文件类型签名(也叫类型幻数,简称文件头)
- 文件特征检测
a. 绕过方法
b. 文件幻术:也就是通过各个图片的特征头加在最前面,用来欺骗防御,然后后面加上webshell代码
c. JPG :FF D8 FF E0 00 10 4A 46 49 46
GIF :47 49 46 38 39 61 (GIF89a)
PNG:89 50 4E 47 - 文件相关信息检测
a. 绕过方法
b. 伪造好文件头,然后在后面加一些正常的数据 - 当文件严格限制了信息和后缀的时候
a. Copy命令制作
b. Ps插入
c. 图片属性版权填写webshell:需要找图片,有的图片无法填写
d. 打开cmd,输入命令:copy 1.jpg/b+1.asp/a 2.jpg(a表示ascii文件/b表示二进制形式)
e. 用PS(photoshop)打开图片
f. 文件→文件简介插入你需要的木马代码3.文件→保存(保存:覆盖源文件 你也可以另存为你想要的其它格式)
g. 绕过方法
h. 二次渲染:通过对bp抓包查看上传的图片有哪个地方没有被渲染到,则在哪个地方添加代码
i. 图片木马制作(图片木马需要配合解析漏洞来执行相应的代码)
四、 修复建议
①通过白名单方式判断文件后缀是否合法。
②对上传的文件进行重命名。
对文件上传漏洞进行更多的练习,可以自己搭建upload-labs靶场,里面是专门提供文件上传漏洞的练习。也可以尝试其他靶场,如DVWA等。本博客主要参考《Web安全深度剖析》一书。