一、初步认识

1.上传功能：网站上各种可以上传文件，图片的地方可以被用作上传点进行非法上传

2.上传原理：在前端代码的表单中设计上传功能，将表单提交给php文件处理

表单a.html

<form action="t.php"method="post">

<input name="aaa" type="file" />

<input type="file"/>

</form>

对应的t.php

if(!isset($_FILES['aaa'])) {

echo 'file not found';

exit();

}

var_dump($_FILES['aaa'])

3.非法上传原理：如果对上传文件没有限制，则可以通过上传可执行文件或脚本达到操控服务器的目的.
如上传一个php脚本，其中包含的命令就会被执行

4.上传漏洞的防御

• 客户端：用js对上传文件的大小、类型、扩展名进行检测
• 服务器端：对文件大小、类型、路径、扩展名进行检测
• 设置服务器端上传类型为不可执行

5.官方总结

文件上传的目录设置为不可执行 只要web容器无法解析该目录下的文件，即使攻击者上传了脚本文件，服务器本身也不会受到影响，因此此点至关重要。实际中，很多大型网站的上传应用，文件上传后会放到独立的储存上，做静态处理。但对一些小应用，如果存在上传功能，则仍需要多加关注

判断文件类型： 判断文件类型时，应结合MIME Type、后缀检查等方式。推荐使用白名单，黑名单的方式已经无数次被证明不可靠。此外，针对图片处理，可以使用亚索函数或者resize函数，在处理图片的同事破坏掉图片中可能包含的HTML代码

使用随机数改写文件名和文件路径 文件上传如果要执行代码，则需要用户能够访问到这个文件。在某些环境中，用户能上传，但不能访问。如果应用使用随机函数改写了文件名和路径，将极大增加攻击成本。与此同时，像1.php.rar.rar、或者1.xml这种文件，都因为文件名被改写而无法成功实施攻击

6.一句话木马原理

• 就是这一句话：<?php @eval($_POST['#'];)?>
• 原理：使用eval方法它里面的字符串将会被执行,这样当脚本在服务器端运行的时候同时也执行了 Request.form('#')+''这句代码,Request.form('#')的作用是读取客户端文件中html标记属性中name值被命名 为#的部分
• 接下来的实验二、三 的主要目的就是想办法让后缀为.php的一句话木马而不是正常的.jpg文件得到解析，因此使用各种方法绕过，总之就是要想办法上传一个披着.jpg外套的木马

二、小试牛刀

1. 再现杰奇网站漏洞环境

• 找到上传点：上传照片的位置

image

• 上传绕过

方法一：通过firebug删除前端代码中上传验证的代码

image

方法二：在firebug中修改js代码，相当于添加白名单

image

• 制作一句话木马并保存为yijuhua.php

image

• 使用中国菜刀工具链接网站并输入一句话木马中的#即可连接，获得网站的webshell

webshell是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称做为一种网页后门，在入侵了一个网站后，将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，就可以使用浏览器来访问asp或者php后门，得到一个命令执行环境，可以达到控制网站服务器的目的。

2. MIME类型绕过漏洞

MIME:客户端软件
MIME检测原理
服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法的。

题图

• 上传一张进行测试，并用burp抓包查看文件类型Content-Type

  
  
  如图所示图片类型为image/jpeg
• 再制作一个php一句话木马，尝试上传时抓包，将其中的Content-Type改为刚才图片的格式，点击forward即可上传成功！
• 绝强的中国菜刀，添加，连接，拿webshell

3. 文件扩展名绕过漏洞

思路
php语言还可以解析php2,php3,php4,php5这些后缀，因此可以尝试将后缀修改然后上传看是否绕过了黑名单，本实验中可用php3,php4

4. 文件内容检测绕过漏洞

• 尝试上传修改后缀名为jpg后的php文件发现不行，说明当前是对文件内容进行检测的

• 既然这样那就上burp,上传一个图片之后抓包，把包中图片的格式改为.php之后在图片文件内容后加上一句话木马<真·机智>

  
  
  修改图片文件后缀为.php
  
  
  在图片文件内容最后加上一句话木马

5. 空字节截断目录路径检测绕过漏洞

截断原理
空格ASCII码的16进制为20，在抓到的包中将其改为截断字符的16进制00后就会截断后续字符

• 在上传一句话木马1.php时抓包，在uploadimg/后加上1.php .jpg

  
  
  图片.png

• 打开包的hex模式，找到刚才加的空格（20）的位置，将其修改为00即将空格变为了转义字符，能看到空格变成了一个方块，这样系统会认定此为一个截断字符，后续的.jpg会被截断，即将其消除掉，所以上传文件的类型依然是.php

  
  
  将空格对应的20改为00

修改后变成截断字符

• 点击forward提交即可

简单文件上传漏洞总结
1.绕过前端验证代码
2.绕过Content-Type检测
3.通过修改后缀名绕过检测
4.通过修改文件内容添加木马绕过检测
5.通过截断字符绕过检测

一点感想
机智的人真的是太会钻空子了。。。
只要他们想就能有各种方法来做，这些简单的方法已经被玩坏了之后，他们又在想什么鬼主意？

三、解析导致的上传漏洞

1. IIS6.0站上的目录路径检测解析绕过上传漏洞 **

IIS：IIS(nternet Information Services)互联网信息服务，是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面

漏洞原理：在抓到包的上传目录中加上‘1.asp/’，在解析时探测到‘ / ’之后会认为这里有截断，进而注释掉后续内容

2. IIS6.0站上的解析缺陷绕过上传漏洞 **

漏洞原理：IIS6.0的站在解析文件名时先找第一个' . '，找到后默认后面所有内容为后缀，随后继续解析找到 ' ; ' 之后就认为这是一个内存截断，因此不再解析后面的内容，上传的文件就被解析为.php格式
具体步骤如下：

• 尝试上传yi.php时用burp抓包，得到如图所示的包

  
  
  抓包结果

• 在上传文件的目录uploading/下加一个' 1.php; '（注意这里不加在Content-Disposition下的filename中是因为IIS6.0会自动将文件名称改为时间戳），并且将Content-Disposition中的filename 改为yi.jpg（为了掩饰），这个过程就是利用了上面的漏洞原理，解析文件‘1.php;yi.jpg’（上传后就将路径和文件名合在了一起），会在找到‘；’后自动忽略后面的yi.jpg而认为这是一个php文件，这样就达到了目的。

  
  
  修改后

重点！如何防御这一漏洞？？？

3. Apache站上的解析缺陷绕过上传漏洞

漏洞原理：apache会对所有文件的后缀进行设置，确定什么格式来解析，如上传后缀为.jpg的文件，就会被当作图片格式来解析，如果某个后缀没有设置解析，那么就会忽略它，如文件名为yijuhua.php.7z，apache会忽略.7z而直接按照php文件格式来解析

4. htaccess文件上传解析漏洞

• 还是先写好一句话木马。。。
• 再开一个文本文档写上下面的神奇代码，另存为文件名.htaccess的所有文件类型
  AddType application/x-httpd-php .jpg

神奇代码的作用：将上传后缀名为.jpg的文件按照.php的格式来解析

• 先上传.htaccess文件，再将我们的一句话木马改成.jpg后缀然后上传，连接菜刀时网址为xxx/uplodimg/1.jpg

.htaccess可以上传的原因：它是apache服务器中的一个配置文件,不是上传的文件的黑名单之内 ,所以.htaccess文件是可以上传成功。