pikachu靶场-Unsafe Filedownload/Fileupload不安全文件的下载和上传漏洞

一、不安全文件的下载

1.概念

 

不安全的文件下载概述
文件下载功能在很多web系统上都会出现，一般我们当点击下载链接，便会向后台发送一个下载请求，一般这个请求会包含一个需要下载的文件名称，后台在收到请求后 会开始执行下载代码，将该文件名对应的文件response给浏览器，从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话，则可能会引发不安全的文件下载漏洞。
此时如果 攻击者提交的不是一个程序预期的的文件名，而是一个精心构造的路径(比如../../../etc/passwd),则很有可能会直接将该指定的文件下载下来。 从而导致后台敏感信息(密码文件、源代码等)被下载。
所以，在设计文件下载功能时，如果下载的目标文件是由前端传进来的，则一定要对传进来的文件进行安全考虑。 切记：所有与前端交互的数据都是不安全的，不能掉以轻心！
你可以通过“Unsafe file download”对应的测试栏目，来进一步的了解该漏洞。

2.Unsafe Filedownload

 我们在超链接名字处右键选择在新的标签页中打开

 观察源码发现没有进行任何安全防护，直接将get到的字符串拼接进行下载

我们来构造一个url下载文件

../../../password.txt

其实这是我自己建立的一个文件，为了方便演示所以选择下载它。

二、不安全文件的上传

1.概念

不安全的文件上传漏洞概述
文件上传功能在web应用系统很常见，比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后，后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等，然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨，则攻击着可能会上传一些恶意的文件，比如一句话木马，从而导致后台服务器被webshell。
所以，在设计文件上传功能时，一定要对传进来的文件进行严格的安全考虑。比如：
--验证文件类型、后缀名、大小;
--验证文件的上传方式;
--对文件进行一定复杂的重命名;
--不要暴露文件上传后的路径;
--等等...

2.客户端绕过client check

<script>
    function checkFileExt(filename)
    {
        var flag = false; //状态
        var arr = ["jpg","png","gif"];
        //取出上传文件的扩展名
        var index = filename.lastIndexOf(".");
        var ext = filename.substr(index+1);
        //比较
        for(var i=0;i<arr.length;i++)
        {
            if(ext == arr[i])
            {
                flag = true; //一旦找到合适的，立即退出循环
                break;
            }
        }
        //条件判断
        if(!flag)
        {
            alert("上传的文件不符合要求，请重新选择！");
            location.reload(true);
        }
    }
</script>

　　这里的checkFileExt（）就是判断上传的文件是否是图片的格式，如果不是则弹出对话框。

我们利用审查元素将其删除掉

 然后上传我们的一句话木马文件

 然后我们就可以利用菜刀或者构造url来进行连接了

url示例：

http://127.0.0.1/pikachu-master/vul/unsafeupload/uploads/yijuhua.php/?czs=ipconfig 

3.服务端MIME type

 

if(isset($_POST['submit'])){
//     var_dump($_FILES);
    $mime=array('image/jpg','image/jpeg','image/png');//指定MIME类型,这里只是对MIME类型做了判断。
    $save_path='uploads';//指定在当前目录建立一个目录
    $upload=upload_sick('uploadfile',$mime,$save_path);//调用函数
    if($upload['return']){
        $html.="<p class='notice'>文件上传成功</p><p class='notice'>文件保存的路径为：{$upload['new_path']}</p>";
    }else{
        $html.="<p class=notice>{$upload['error']}</p>";
    }
}

　　

 

 上传正确格式的文件，利用burpsuite抓包

 上传一句话木马

 我们看文件，发现一句话木马已经上传成功了

 然后我们可以利用菜刀或者URL进行连接了。

http://192.168.233.138/pikachu-master/vul/unsafeupload/uploads/1.php/?czs=ipconfig

4.getimagesize

  Getimagesize()返回结果中有文件大小和文件类型，如果用这个函数来获取类型，从而判断是否是图片的话，会存在问题。

后台会根据上传的图片的16进制格式的前几位进行对比，前几位是固定的 符合才是真的图片，png：8950 4e47 

我们准备一张正常的图片和一个含有恶意代码的php文件

 在cmd下输入一段命令

copy /b 1.png+1.php yi.png

 制作好之后就可以成功的上传返回路径

 http://localhost/pikachu-master/vul/fileinclude/fi_local.php?filename=../../unsafeupload/uploads/2020/03/31/5349015e830f4b00004846209034.png&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2