防御文件上传的一些思路
- 客户端javascript校验(通常校验扩展名)
- 检查文件扩展名
- 检查MIME类型
- 随机文件名
- 隐藏路径
- 重写内容(影响效率)imagecreatefromjpeg…
- 检查内容是否合法
绕过技巧
- $_FILES[‘file’][‘type’]:burp抓包可修改
- 内容检查:
<script language=“php”></script>
- 文件名拓展检查:黑名单绕过 ○ Php3 php5 phtml PPHP pHp phtm inc ○ Jsp jspx jspf ○ Asp asa cer aspx ○ Exe exee ○ 后缀名加空格 ○ 00截断 ○ 双重后缀名绕过
- 常配合文件包含漏洞达到特殊效果
- 通过比较gd函数处理前后的文件找到不产生变化的区块写入特殊的payloadhttp://www.freebuf.com/articles/web/54086.html
- phpinfo+lfi
- htaccess攻击
- AddType application/x-httpd-php .jpg
<FilesMatch "lw.gif">
SetHandler application/x-httpd-php
</FilesMatch>
-
opcache文件getshell(利用phpinfo获得缓存目录后上传shell)https://www.exehack.net/3272.html
- 如果内存缓存的优先级高于文件缓存,那么重写opcache文件并不会执行我们的webshell
- 开启了validate_timestamp的绕过:
- Wordpress某些文件时间戳一样
- opcache-override
文件头检测方法:将木马后缀到文件末(常见的是通过getimagesize()函数)
file_put_contents 数组绕过
-
当代码中存在spl_autoload_register()函数时可以上传.inc文件(laravel、composer中常用)(湖湘杯)
- spl_autoload_register()函数使用后将会自动调用inc文件
move_uploaded_file() 名称可控时可上传至任意位置,aaaa/../index.php/.绕过后缀名检测
上传模板文件
上传绕过 parse_url函数可以通过多个斜杠来绕过
