文件上传漏洞

文件上传漏洞就是用户上传一个可执行的文件脚本，并通过脚本获得执行服务器端命令的的能力。

上传的文件可以是：

1、web脚本语言

        要求：上传的文件可以被web容器解释执行，文件上传后的目录要是web容器所覆盖的路径；

                    上传的文件可以被用户从web上访问。

2、Flash的策略文件crossdomain.xml：控制flash在该域下的行为

3、病毒或木马文件：诱使用户或管理员下载执行

4、钓鱼图片或包含了脚本的文件：在浏览器中作为脚本执行（低版本IE中，会把上传的恶意图片当做HTML执行，控制浏览器跳转到指定钓鱼网站。IE 8 中有了增强的MIME Sniff缓解此问题）

绕过文件上传检查的方法：

大部分安全检测方式都是通过判断后缀名

1、00截断：手动修改上传过程的post包，将文件名修改为xxx.php[\0].JPG，[\0]相当于16进制字符串0x00，截断之后的文件为xxx.php

还有的会通过判断上传文件的文件头来验证文件类型

2、伪造合法文件头，将真实的php等脚本代码附在合法的文件头后，仍需要通过php来解释此文件图片（后缀是.php）

3、修改Content-Type：image/jpeg；image/png；image/gif等允许上传类型对应的MIME值

常见Web Server攻击特性：

1、Apache

从后往前解析文件名，直至遇到一个Apache认识的文件类型。

比如.rar是合理的文件上传，上传xxx.php.rar.rar.rar，由于Apache不认识.rar这个文件类型，因此会一直遍历后缀到.php，然后认为是一个php文件，从而导致脚本攻击。

2、IIS

（1）存在“；”截断，也就是说文件名为abc.asp;xx.jpg，会被解析为abc.asp

（2）处理文件夹扩展名出错，导致/*.asp/目录下的所有文件都作为asp进行解析

（3）支持PUT功能（WebDav中定义的一个方法），允许用户上传文件到指定路径。

首先使用PUT上传一个指定的文本文件，最后通过MOVE改写为脚本文件

3、Nginx

Nginx配置fastcgi使用PHP时，或存在文件类型解析问题

访问http://www.xxx.com/path/test.jpg/noexist.php时，test.jpg会被当做php解析。noexist.php是不存在的文件。

设计安全的文件上传功能：

1、判断文件类型（后缀白名单，文件头）

对图片的处理，可以使用压缩函数或者resize函数，破坏图片中可能存在的HTML代码。

2、文件上传目录设置为不可执行

将上传的文件独立存储，作为静态文件处理

3、使用随机数改写文件名和文件路径

4、单独设置文件服务器域名

利用浏览器的同源策略

文件包含漏洞

代码注入的一种方式，常见的导致文件包含的函数：include()，include_once()，require()，require_once()，fopen()，readfile()等

以上述函数包含的文件，都将作为php代码执行，不论包含的到底是什么类型的文件

要想成功利用文件包含漏洞，满足下面两个条件：

1、include()等函数通过动态变量的方式引入需要包含的文件。

2、用户能控制该动态变量

本地文件包含

常见的敏感信息路径：

Windows系统

c:\boot.ini // 查看系统版本

c:\windows\system32\inetsrv\MetaBase.xml // IIS配置文件

c:\windows\repair\sam // 存储Windows系统初次安装的密码

c:\ProgramFiles\mysql\my.ini // MySQL配置

c:\ProgramFiles\mysql\data\mysql\user.MYD // MySQL root密码

c:\windows\php.ini // php 配置信息

Linux/Unix系统

/etc/passwd // 账户信息

/etc/shadow // 账户密码文件

/usr/local/app/apache2/conf/httpd.conf // Apache2默认配置文件

/usr/local/app/apache2/conf/extra/httpd-vhost.conf // 虚拟网站配置

/usr/local/app/php5/lib/php.ini // PHP相关配置

/etc/httpd/conf/httpd.conf // Apache配置文件

/etc/my.conf // mysql 配置文件

如果是输入的文件名拼接特定后缀组成的文件名，需要进行截断，截断方式包括00截断，长度截断（windows OS，点号需要长于256；linux OS 长于4096：./././././././././）和点号截断（windows OS，点号需要长于256：.......）

设置open_basedir，防止目录遍历，跨目录读取文件，限制在某个特定目录下PHP能打开的文件。

可以使用burpsuit获取对应的payload（scanner）

本地文件包含利用技巧：

1、包含用户上传的文件（结合文件上传漏洞，如果用户上传的文件中包含PHP代码，这些代码被include（）加载之后将会执行）

2、包含data://或php://input等伪协议

(1) http://www.XXXX.com/test2.php?page=php://filter/read=convert.base64-encode/resource=xxx.php  

访问URL，读取PHP文件，即可得到经过base64加密的文件内容，解密即可。

(2) php://input：写入php文件，使用时必须开启 allow_url_include。

用法：?file=php://input 数据利用POST传过去。

file_get_contents()就要想到用php://input绕过

（3）data://（读取文件）：和php伪协议的input类似，碰到file_get_contents()来用；

（4）phar://：这个参数是就是php解压缩包的一个函数，不管后缀是什么，都会当做压缩包来解压。

用法：?file=phar://压缩包/内部文件 phar://xxx.png/shell.php 注意： PHP > =5.3.0 压缩包需要是zip协议压缩，rar不行，将木马文件压缩后，改为其他任意格式的文件都可以正常使用。 步骤： 写一个一句话木马文件shell.php，然后用zip协议压缩为shell.zip，然后将后缀改为png等其他格式。 

3、包含session文件（要求攻击者可以控制session文件的内容，默认session放在/temp/sess_SESSIONID）

4、包含日志文件，web server的access_log里记录了客户端的请求信息，在error_log里记录了出错请求。日志文件目录/user/local/apache/conf/httpd.conf

5、包含/proc/self/environ，这样的包含并不需要猜测被包含文件的位置，这个文件里都是web进程运行时的环境变量，大多数都是用户可控制的，可以在User-Agent中注入代码

6、包含上传的临时文件，PHP创建的临时文件，往往处于PHP允许访问的目录范围，在php.ini的upload_tep_dir中定义，临时文件的文件名是随机的，可以暴力猜解获取临时文件名

远程文件包含

设置allow_url_include为off，阻止远程文件包含漏洞