为什么会存在文件上传呢?
- 网站为了给用户更好的体验,也有助于提高业务效率。
- 一般的社会网络的web应用程序,博客,论坛,电子,银行网站等。会给用户与企业员工有效的共享文件,
- 在运营过程中,对网站内容的更新,需要网站就要文件上传功能
- 允许上传文件,视屏,头像和许多其他类型文件。
- 这样的做法是基于对用户的完全信任。(但是我们不是一个好人~~)
上传文件本身是不存在漏洞
为什么会出现上传文件漏洞呢?
- 服务器配置不当
在不需要上传页面的情况下,
导致任意文件上传HTTP请求方法(put)
将.html后缀的文件使用.php进行解析,
导致.html .xml等静态页面被解析
上传文件保存磁盘未NTFS格式可以通过$data绕过黑名单限制
等等,这属于管理员问题。
- 开源编辑器漏洞
- 本地文件上传限制绕过
只是在本地限制,使用抓包工具,修改上传文件,绕过
- 过滤不严或是绕过
使用黑名单过滤掉一些关键的可执行脚本文件,但是也不全是被绕过。
例如:服务器过滤掉了.php文件,但是没有过滤掉.php3等可执行文件
php2,php5,phtml,aspx等等
- 文件解析漏洞导致文件执行
- 文件路径截断
?
%00
\0
可以控制文件路径的情况下,使用超长文件
路径被截断,造成上传
从漏洞原理总结,分为四类web应用程序解析漏洞
-
Apache 的拓展名顺序解析漏洞
Apache自身漏洞
前提:-test.php.任意不属于黑名单也不属于Apache解析白名单名称
文件x1.x2.x3的文件 Apache会从x3的位置往x1位置尝试解析,
以递归的形式,直到找到Apache可以解析的拓展名,从x3到x2,再到x1
![QR49D}9367L]{])O4RU5}21.png](http://upload-images.jianshu.io/upload_images/2495234-991588ca6ccaad2d.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
有些东西还是需要个人去尝试,发现更多的版本信息漏洞。
-
IIS 的asp解析漏洞
IIS自身漏洞
前提:-test.asp/任意文件名 | tset.asp;任意文件名 |
任意文件名/任意文件名/.php(来之php-cgi漏洞)
IIS6.0在解析asp格式的时候有两个解析漏洞
1.目录名包含".asp" 字符串,那么这个目录下所有文件都会按照asp去解析。
2.只要文件名中含有".asp"会优先按照asp来解析
![%W`ZP4TBURTV%N}8]WH5]G3.png](http://upload-images.jianshu.io/upload_images/2495234-519b0f2afeb5fdc3.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
-
Nginx %00解析漏洞
Nginx自身漏洞
前提:任意文件名/任意文件名.php | 任意文件名%00.php
Nginx主要有两种漏洞:
1.一个对于任意文件名,在后面添加/任意文件名.php的解析漏洞,比如原文件名是test.jpg,可以添加test.jpg/x.php 进行解析攻击
2.对于低版本的Nginx可以在任意文件名后面添加%00.php 进行攻击
![9N4J%34V%M2VEX]TZ@@SHNN.png](http://upload-images.jianshu.io/upload_images/2495234-23c7b21abe149a9e.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
-
php-cgi 的默认配置漏洞
神马事CGI(问度娘去0.0)
这类漏洞主要出现在IIS和Nginx ,主要是以CGI形式调用php的web应用程序。Apache通常以module 的形式去调用php(比较少见)
是由 cgi.fix_pathinfo 的值造成的,默认配置 cgi.fix_pathinfo=1
当 php.ini 中 cgi.fix_pathinfo = 1 时,PHP CGI 以 / 为分隔符号从后向前依次检查如下路径:
<span style="font-size: 14px;">/home/verdana/public_html/unsafe/foo.jpg/a.php/b.php/c.php
/home/verdana/public_html/unsafe/foo.jpg/a.php/b.php
/home/verdana/public_html/unsafe/foo.jpg/a.php
/home/verdana/public_html/unsafe/foo.jpg</span>
直到找个某个存在的文件,如果这个文件是个非法的文件,so… 悲剧了~
PHP 会把这个文件当成 cgi 脚本执行,并赋值路径给 CGI 环境变量——SCRIPT_FILENAME,也就是 $_SERVER['SCRIPT_FILENAME'] 的值了
这是后话了
最开始是直接把php.ini中设置 cgi.fix_pathinfo = 0想一劳永逸解决。不过后来发现其导致PHP的超全局变量 $_SERVER['PHP_SELF']为空于是有些程序会出错(比如Discuz会拼接出错误图片头像路径)。
上传检测流程
- 客服端检测绕过
javascript检测 - 服务端检测绕过
1.MIME类型检测
2.目录路径绕过检测
3.文件拓展名检测
-黑名单检测
1.文件大小写绕过(Asp,Php)
2.名单绕过
3.特殊文件名绕过(例如:.test.asp.或是.test.asp_)
4.截断绕过0x00
5.htaaccess文件攻击(上传自定以.htaccess,绕过各种检测)
6.解析漏洞
-白名单检测
1.截断绕过
2.解析漏洞
-htaccess文件攻击
启用.htaccess,需要修改httpd.conf,启用AllowOverride,并可以用AllowOverride限制特定命令的使用。(例如上传一个1.jpg文件,在.htaccess文件中jpg使用php解析,完成绕过)
无视黑名单和白名单。
4.文件内容检测(图片头部内容)
如果一个图片在一个图片编辑器内打开, 就如 Gimp, 用户就可以编辑图片的注释区, 那儿就能插入 PHP 代码
这是上传漏洞的核心之一
可以囊括攻击者所有的思路和方法(作者网上找到的.0好菜0.)
![1[38E]WX)L(]CEH4RFPVH~3.png](http://upload-images.jianshu.io/upload_images/2495234-c7c1326e999c6f21.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
文件上传漏洞存在的危害
- 网站被控制
- 服务器沦陷
- 同一服务器下的网站都会被控制
如何挖掘,利用
下面的内容就个人而言有意义
- 查找有输入点的地方
- 目录,文件扫描(寻找敏感文件)
- 然后去依次对比
- 哪些检测环节存在/不存在
- 哪些环节是安全/还是有漏洞
- 哪些环节如果被利用是代码层漏洞/还是 Web 应用程序解析漏洞
- 对应在该项后面进行填写
- 最后把 Vule 的部分选出来,再来分析如何进行组合,以及利用它们需要什么样的条件
- 通过这个分析框架进行白盒/黑盒分析并罗列出所有情况
- 攻击者便能更系统地分析出源码/目标环境可能存在的漏洞
如何修复,安全配置,需注意的位置。
- 轻量级检测必然能绕过
- 检测的重点放在文件内容检测
可以用检测脚本语言特征码的机制 - 路径/扩展名检测一定要用白名单
并且注意路径的 0x00 截断攻击 (把 php 更新至最新版本即可,已经修补了这个漏洞了) - 不能有本地文件包含漏洞
- 随时注意更新 web 应用软件
避免被解析漏洞攻击
6.客服端和服务端共同验证。
以上的内容大部分都是个人学习过程中,收集的信息。
Know it then hack it