0x00 不安全的文件上传漏洞概述不安全的文件上传漏洞概述
文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。
当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。
比如上传头像 jpg png 上传文档 dox
如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。
所以,在设计文件上传功能时,一定要对传进来的文件进行严格的安全考虑。比如:
--验证文件类型、后缀名、大小;
--验证文件的上传方式;
--对文件进行一定复杂的重命名;
--不要暴露文件上传后的路径;
--等等...
0x01 客户端check
选择php文件 上传失败 选择jpg文件上传成功
查看源码, 上传文件时 运用到了function checkFileExt(filename)函数 对上传的文件做了判断
在前端做限制 很容易做绕过 将unchange 删掉 ,再次上传1.php,就可以成功上传
在实际操作中 要知道上传的路径 才能进行操作
http://192.168.50.100/pikachu/vul/unsafeupload/uploads/l.php?x=ipconfig
0x02 服务端check MIME TYPE
MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,
当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。
上传php文件 点提交
查看源码, 定义了一个数组 并且调用了uploadfile函数
函数 作用 获取mime类型 再进行比较
上传1,jpg 抓包 观察 他的type
上传ghz.php 抓包 观察 他的type
修改ghz.php 的type
页面显示 上传成功
0x04 getimagesize()
getimagesize()函数将测定任何图像文件的大小并返回图像的尺寸以及文件类型和一个可以用于普通HTML文件中<IMG>标记中的 height/width 文本字符串。
如果用这个函数来获取类型 从而判断是否是图片 会存在问题
是否可以绕过? 可以 因为图片头可以伪造
查看图片第一行代码 发现 图片头都一致
使用copy命令~
补充:
文件包含和文件上传 俩个漏洞结合起来的利用
文件上传漏洞使用 将图片头复制过来 伪造图片 然后将恶意代码嵌入 将jpg上传成功后 得到路径
再利用文件包含 漏洞 http://192.168.50.100/pikachu/vul/fileinclude/fi_local.php?filename=file1.php&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2
就可以读取文件
文件上传漏洞防范:
