要不就叫谁谁谁的'站'是"我"的了~~

为什么会存在文件上传呢?

  • 网站为了给用户更好的体验,也有助于提高业务效率。
  • 一般的社会网络的web应用程序,博客,论坛,电子,银行网站等。会给用户与企业员工有效的共享文件,
  • 在运营过程中,对网站内容的更新,需要网站就要文件上传功能
  • 允许上传文件,视屏,头像和许多其他类型文件。
  • 这样的做法是基于对用户的完全信任。(但是我们不是一个好人~~)

上传文件本身是不存在漏洞

为什么会出现上传文件漏洞呢?

  • 服务器配置不当
在不需要上传页面的情况下,
导致任意文件上传HTTP请求方法(put)
将.html后缀的文件使用.php进行解析,
导致.html  .xml等静态页面被解析
上传文件保存磁盘未NTFS格式可以通过$data绕过黑名单限制
等等,这属于管理员问题。
  • 开源编辑器漏洞
  • 本地文件上传限制绕过
只是在本地限制,使用抓包工具,修改上传文件,绕过
  • 过滤不严或是绕过
使用黑名单过滤掉一些关键的可执行脚本文件,但是也不全是被绕过。
例如:服务器过滤掉了.php文件,但是没有过滤掉.php3等可执行文件
php2,php5,phtml,aspx等等
  • 文件解析漏洞导致文件执行
  • 文件路径截断
?
%00
\0
可以控制文件路径的情况下,使用超长文件
路径被截断,造成上传

从漏洞原理总结,分为四类web应用程序解析漏洞

  • Apache 的拓展名顺序解析漏洞

Apache自身漏洞 
前提:-test.php.任意不属于黑名单也不属于Apache解析白名单名称
文件x1.x2.x3的文件 Apache会从x3的位置往x1位置尝试解析,
以递归的形式,直到找到Apache可以解析的拓展名,从x3到x2,再到x1

![QR49D}9367L]{])O4RU5}21.png](http://upload-images.jianshu.io/upload_images/2495234-991588ca6ccaad2d.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
有些东西还是需要个人去尝试,发现更多的版本信息漏洞。

  • IIS 的asp解析漏洞

IIS自身漏洞
前提:-test.asp/任意文件名 | tset.asp;任意文件名 |  
任意文件名/任意文件名/.php(来之php-cgi漏洞)
IIS6.0在解析asp格式的时候有两个解析漏洞
1.目录名包含".asp" 字符串,那么这个目录下所有文件都会按照asp去解析。
2.只要文件名中含有".asp"会优先按照asp来解析

![%W`ZP4TBURTV%N}8]WH5]G3.png](http://upload-images.jianshu.io/upload_images/2495234-519b0f2afeb5fdc3.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

  • Nginx %00解析漏洞

Nginx自身漏洞
前提:任意文件名/任意文件名.php | 任意文件名%00.php
Nginx主要有两种漏洞:
1.一个对于任意文件名,在后面添加/任意文件名.php的解析漏洞,比如原文件名是test.jpg,可以添加test.jpg/x.php 进行解析攻击
2.对于低版本的Nginx可以在任意文件名后面添加%00.php 进行攻击

![9N4J%34V%M2VEX]TZ@@SHNN.png](http://upload-images.jianshu.io/upload_images/2495234-23c7b21abe149a9e.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

  • php-cgi 的默认配置漏洞

神马事CGI(问度娘去0.0)
这类漏洞主要出现在IIS和Nginx ,主要是以CGI形式调用php的web应用程序。Apache通常以module 的形式去调用php(比较少见)

是由 cgi.fix_pathinfo 的值造成的,默认配置 cgi.fix_pathinfo=1
当 php.ini 中 cgi.fix_pathinfo = 1 时,PHP CGI 以 / 为分隔符号从后向前依次检查如下路径:

<span style="font-size: 14px;">/home/verdana/public_html/unsafe/foo.jpg/a.php/b.php/c.php  
/home/verdana/public_html/unsafe/foo.jpg/a.php/b.php  
/home/verdana/public_html/unsafe/foo.jpg/a.php  
/home/verdana/public_html/unsafe/foo.jpg</span> 

直到找个某个存在的文件,如果这个文件是个非法的文件,so… 悲剧了~
PHP 会把这个文件当成 cgi 脚本执行,并赋值路径给 CGI 环境变量——SCRIPT_FILENAME,也就是 $_SERVER['SCRIPT_FILENAME'] 的值了

这是后话了

最开始是直接把php.ini中设置 cgi.fix_pathinfo = 0想一劳永逸解决。不过后来发现其导致PHP的超全局变量 $_SERVER['PHP_SELF']为空于是有些程序会出错(比如Discuz会拼接出错误图片头像路径)。

上传检测流程

  • 客服端检测绕过
    javascript检测
  • 服务端检测绕过
    1.MIME类型检测
    2.目录路径绕过检测
    3.文件拓展名检测

-黑名单检测
1.文件大小写绕过(Asp,Php)
2.名单绕过
3.特殊文件名绕过(例如:.test.asp.或是.test.asp_)
4.截断绕过0x00
5.htaaccess文件攻击(上传自定以.htaccess,绕过各种检测)
6.解析漏洞
-白名单检测
1.截断绕过
2.解析漏洞
-htaccess文件攻击
启用.htaccess,需要修改httpd.conf,启用AllowOverride,并可以用AllowOverride限制特定命令的使用。(例如上传一个1.jpg文件,在.htaccess文件中jpg使用php解析,完成绕过)
无视黑名单和白名单。

4.文件内容检测(图片头部内容)

如果一个图片在一个图片编辑器内打开, 就如 Gimp, 用户就可以编辑图片的注释区, 那儿就能插入 PHP 代码

这是上传漏洞的核心之一

可以囊括攻击者所有的思路和方法(作者网上找到的.0好菜0.)
![1[38E]WX)L(]CEH4RFPVH~3.png](http://upload-images.jianshu.io/upload_images/2495234-c7c1326e999c6f21.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

MIEFP_20UWSI_YR~A)DVO29.png

文件上传漏洞存在的危害

  • 网站被控制
  • 服务器沦陷
  • 同一服务器下的网站都会被控制

如何挖掘,利用

下面的内容就个人而言有意义

  • 查找有输入点的地方
  • 目录,文件扫描(寻找敏感文件)
  • 然后去依次对比
  • 哪些检测环节存在/不存在
  • 哪些环节是安全/还是有漏洞
  • 哪些环节如果被利用是代码层漏洞/还是 Web 应用程序解析漏洞
  • 对应在该项后面进行填写
  • 最后把 Vule 的部分选出来,再来分析如何进行组合,以及利用它们需要什么样的条件
  • 通过这个分析框架进行白盒/黑盒分析并罗列出所有情况
  • 攻击者便能更系统地分析出源码/目标环境可能存在的漏洞

如何修复,安全配置,需注意的位置。

  1. 轻量级检测必然能绕过
  2. 检测的重点放在文件内容检测
    可以用检测脚本语言特征码的机制
  3. 路径/扩展名检测一定要用白名单
    并且注意路径的 0x00 截断攻击 (把 php 更新至最新版本即可,已经修补了这个漏洞了)
  4. 不能有本地文件包含漏洞
  5. 随时注意更新 web 应用软件
    避免被解析漏洞攻击
    6.客服端和服务端共同验证。
F7{LYKYGDB92W_AN9$H%E1R.png

以上的内容大部分都是个人学习过程中,收集的信息。
Know it then hack it

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,445评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,889评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,047评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,760评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,745评论 5 367
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,638评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,011评论 3 398
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,669评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,923评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,655评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,740评论 1 330
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,406评论 4 320
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,995评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,961评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,197评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,023评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,483评论 2 342

推荐阅读更多精彩内容

  • (源自摘抄整理)https://www.91ri.org/11494.html Webshell实现与隐藏探究 一...
    JackyTsuuuy阅读 20,698评论 2 13
  • 文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直...
    付出从未后悔阅读 1,120评论 0 4
  • 一套实用的渗透测试岗位面试题,你会吗? 1.拿到一个待检测的站,你觉得应该先做什么? 收集信息 whois、网站源...
    g0阅读 4,809评论 0 9
  • 1,检测javascript类型的绕过(客户端) -通常post请求发送到web服务器,客户端javascript...
    carsonsoding阅读 1,079评论 0 1
  • 上一章:职场妖精修炼记(23)贸然离职 两个月以后的某一天,我接到一个电话,要我去面试,我问对方是招什么岗位,对方...
    夏乙之阅读 417评论 6 10