前言
文件上传是很常用的功能点,如:上传头像、上传附件、保存文件等,文件上传漏洞的思想很简单,即可以将包含恶意代码的文件上传到服务器,并且能够解析执行,从而实现getshell。
首先,本文将介绍如何解析执行文件以及已知的一些解析漏洞;
然后,本文将讲解常见文件上传漏洞的防御方式以及绕过方法;
最后,本文会提供修复文件上传漏洞的建议。
解析&解析漏洞
Apache默认解析的后缀名
FilesMatch ".+\.ph(p[3457]?|t|tml)$">
IIS默认解析的后缀名
IIS6.0
.asp .asa .cer .cdx
通过aspnet_isapi.dll解析
Tomcat默认解析的后缀名
<servlet-mapping>
<servlet-name>jsp</servlet-name>
<url-pattern>*.jsp</url-pattern>
<url-pattern>*.jspx</url-pattern>
</servlet-mapping>
IIS解析漏洞
IIS6.0:*.asa或*.asp格式的目录下的任意文件会被IIS当作asp文件来解析
IIS6.0:当文件名为*.asp;1.jpg类型的格式时,会被IIS当做ASP脚本执行
顺带提一下,当开启WebDav拓展,并且只是PUT、Move、Copy、Delete等方法时,可被上传恶意脚本
OPTIONS查看支持的方法
PUT上传文件
Move或Copy修改文件名
Apache解析漏洞
Apache 1.x & 2.x:当Apache遇到不认识的后缀名时,如:1.php.xx,会从后往前依次尝试解析,直到发现认识的php后缀名,遂当做PHP脚本解析。(apache认识的后缀名储存在/etc/mime.types)
Nginx解析漏洞
(PHP CGI解析漏洞):http://ultramangaia.cn/gg.jpg,在这个网址后面加上1.php,即http://ultramangaia.cn/gg.jpg/1.php,会被解析成PHP脚本。(php.ini文件中cgi.fix_pathinfo开启时/此漏洞也可能会出现在IIS7.0、IIS7.5、Lighttpd等,因为是PHP CGI的问题)
空字节:http://ultramangaia.cn/gg.jpg,在这个网址后面加上%00.php,即http://ultramangaia.cn/gg.jpg%00.php会导致解析为PHP脚本
nginx 0.5.*
nginx 0.6.*
nginx 0.7 <= 0.7.65
nginx 0.8 <= 0.8.37
文件上传漏洞防御及绕过方法
客户端校验
JavaScript 检查后缀名
绕过:Burp Suite 改后缀名
服务端校验
文件头content-type字段校验(eg. image/gif)
绕过:修改content-type字段
文件头校验(eg. GIF89a)
绕过:生成图片马绕过
后缀名黑名单/正则黑名单
绕过:黑名单覆盖不全时,可换后缀名绕过
绕过:大小写绕过
后缀名白名单/正则白名单
其他特性利用
Windows环境的奇葩规则,如会自动去掉不符合规则符号后面的内容
gaia.php[空格]
gaia.php.
gaia.php:1.jpg (注:生成的文件内容是空白的)
gaia.php::$DATA
gaia.php::$INDEX_ALLOCATION (注:生成文件夹)
gaia.php::$DATA.jpg (注:生成0.jpg)
gaia.php::$DATA\aaa.jpg (注:生成aaa.jpg)
上传.htaccess改变解析方式
AddType application/x-httpd-php xxx
会将xxx后缀的文件,用PHP解析
或者
<FilesMatch "shell.jpg">
SetHandler application/x-httpd-php
</FilesMatch>
会将shell.jpg用PHP解析。
文件上传漏洞修复建议
白名单机制
强行重命名为特定后缀名
检查文件内容
文件保存随机的文件名,在数据库中映射后缀,返回时,设置Content-Type
隐藏文件路径
文件路径在web目录之外,不能直接访问到
将上传的文件保存到OSS(阿里云)
