【文件上传】PHP文件上传漏洞

0x01 文件上传漏洞

文件上传漏洞顾名思义就是用户上传一个可执行的脚本文件,获得了执行服务器端命令的能力。通常,文件上传是getshell最常用、最直接的方式了。但是,文件上传本身是一个正常的业务需求,因此问题在于如何安全的上传。

0x02 文件上传的触发条件

  1. 上传的文件被Web容器解释执行

  2. 用户能够从web页面访问到被上传的文件(直接或间接)

  3. 用户上传的文件通常不能被网站程序压缩、修改内容

0x03 从防御的角度看上传

通常防御文件上传漏洞是分几个点的,大体上就以下几方面

1. 客户端javascript校验

在浏览加载文件,但还未点击上传按钮时变弹出对话框,内容可能是“只允许上传xxx后缀名的文件”之类的,而此时并没有发送数据包。

绕过方法:

  1. 关闭浏览器的javascript功能
  2. 用burp抓包改后缀名

2. 检测MIME 类型

· 客户端判断:
$_FILES['myfile']['type'] == 'image/jpeg'

· 服务端判断:

$fileinfo = finfo_open(FILEINFO_MIME);
$mimetype = finfo_file($fileinfo, $file_true_name);

绕过方法:

  1. 用burp抓包,修改Content-Type

3. 检查内容

服务器端会读取上传的文件然后判断文件内容时候有<?php之类的


绕过方法:

<script language="php">eval($_POST['cmd']);</script>
  1. 如果检查文件头的话就就可以找张真正的图片然后用winhex在图片的末尾写php代码

4. 检查文件扩展名

一般检查文件扩展名为最直接有效的方法,通常是基于白名单或者黑名单来实现的。

黑名单绕过

  1. 可以使用能够被解析的其他文件扩展名
jsp jspx jspf
asp asa cer aspx
php phtml php3 php4 php5 PHP phtm
exe exee
  1. 特殊文件名绕过
    比如在上传的时候改成test.asp.或者test.asp_(下划线为空格,这里方便大家看用下划线表示了),这种命名方式在windows下是不允许的,绕过验证后windows系统自动去掉后面的点和空格,但要注意Unix/Linux是没有这个特性的。

  2. 00截断
    有的时候可能会遇到服务器端把后缀名已经定好了,而恰好别的地方有一个可以任意读取php文件的服务,这个时候可以把图片马上传后在这里查看,查看的时候用%00把后面的.php给截断就好了

  3. .htaccess文件攻击
    配合名单列表绕过,上传一个自定义.htaccess文件,即可轻松绕过各种检测。

  4. 解析漏洞绕过
    这类漏洞直接配合上传一个代码注入过的非黑名单文件即可,再利用解析漏洞即可

白名单绕过

  1. %00截断
    跟之前说的很像,就是上传一个比如shell.php%00.jpg,服务器检测后缀名是.jpg,但实际上已经被截断了。

  2. 解析漏洞利用
    这类漏洞直接配合上传一个代码注入过的白名单文件即可,再利用解析漏洞

  3. .htaccess文件攻击
    配合名单列表绕过,上传一个自定义.htaccess文件,即可轻松绕过

0x04 与文件上传息息相关的解析漏洞

  1. IIS5.x-6.x解析漏洞

•使用iis5.x-6.x版本的服务器,大多为windowsserver2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,而不能解析aspx文件。

•目录解析(IIS6.0),只要文件夹有asp的话,该目录下所有文件都会当作asp来解析,www.xxx.com/xx.asp/xx.jpg(xx.asp要存在)

www.xxx.com/xx.asp;.jpg服务器默认不解析;号后面的内容,因此xx.asp;.jpg便被解析成asp文件了。(xx.asp;.jpg为上传文件)

  1. IIS的PUT上传

•PUT是在WebDav中定义的一个方法,允许用户上传文件到指定目录。
•在许多WebServer中都默认禁用了此方法,或者对上传做了严格限制。但在IIS中,如果目录支持写权限,同时开启了WebDav,就会支持PUT,再结合MOVE方法,可Getshell。

  1. apache解析漏洞

•Apache解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如test.php.owf.rar“.owf”和”.rar”这两种后缀是apache不可识别解析,apache就会把test.php.owf.rar解析成php•www.xxxx.xxx.com/test.php.php123

•Apache的httpd.conf的AddHandler php5-script .php这时只要文件名里包含.php即使文件名是test2.php.jpg也会以php来执行。(配置错误)

  1. nginx解析漏洞(Nginx<8.03)

•当cgi.fix_pathinfo开启时(为1)

•当访问www.xx.com/phpinfo.jpg/1.php时,会将phpinfo.jpg当做php进行解析

•其中1.php是一个不存在的文件

0x06 参考

  1. 某大佬的PPT

  2. 文件上传框架

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 160,108评论 4 364
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 67,699评论 1 296
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 109,812评论 0 244
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 44,236评论 0 213
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 52,583评论 3 288
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,739评论 1 222
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,957评论 2 315
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,704评论 0 204
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 34,447评论 1 246
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,643评论 2 249
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 32,133评论 1 261
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,486评论 3 256
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 33,151评论 3 238
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 26,108评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,889评论 0 197
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,782评论 2 277
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,681评论 2 272

推荐阅读更多精彩内容