关于File Upload的一些思考

标签: WEB安全 File Upload 代码检测 | 发表时间:2020-01-05 09:00 | 作者:灭迹下的荒诞
出处:https://www.freebuf.com

在web渗透中,文件上传是最简单直接的方式之一。 但是碰到完全不做校验的代码直接上传getshell,很难有这样的运气;大部分时候都有检测,甚至多处设卡。

若按设卡点的顺序来说可大致分为:前端js检验、防护检测(waf)、服务端检测。

这里就讲如何绕过服务端代码的检测,服务端会出现文件上传的什么安全配置。

一、文件上传安全配置

一图顶千言,请看下图:

二、绕过服务端的代码检测

服务端的代码常检测request包中的三个点:

1)MIME类型 

2)文件后缀

3)文件内容

如下图所示:

理论上请求包的任何参数都可以作为检测点,但是对于文件上传功能来说,用户提交的请求包中这三个地方,是辨别是否为恶意文件的重要的三个点,所以大部份后端程序的都是检测这么三个地方。

这三个检测点详细的检测方式,如下图所示:

讲了这么多,那么该怎进行绕过呢?

话不多说,开始吧!

1)MIME类型检测

我们先来看一段在w3c上的,检验MIME类型的一段php代码,如下图所示:

可以看见上面代码中只校验了http头中的MIME类型。

这MIME类型的校验啊,就好比:

城门守卫问你:“你是不是好人?”(php代码中的if判断)

你只需回答:“我是好人!”(request包中content-type字段改为image/jpeg)

然后,城门守卫就放行了。

至于你到底是不是好人,和你如何回答的是没有丝毫关系的。

这个逻辑适用于很多情况,这也是安全的基础:不信任任何客户端提交的数据。

2)文件后缀检测

文件后缀检测分两种情况:白名单和黑名单。

绕过白名单或黑名单有诸多姿势:“服务器解析漏洞” 、 “文件命名规则”、“00截断”、“长度截断”、“竞争上传”、“双上传”、“可解析后缀”、“.htacees和user.ini”、“误用函数”等等。

废话不多说,请看下图:

1、服务器解析漏洞

1.1、apache解析漏洞

首先,对于Apache服务器来说,哪些后缀可以被解析是由什么决定呢?

apache中有一个关于php的默认配置文件,其中用正则指定了哪些后缀使用哪些解析器。如图:

apache解析又一个特点,解析文件时是从右往左判断,遇到不认识的后缀时,就跳过,于是就有了类似于“.php.123”这种绕过方式。

但是从上图可以看到,这种方式在这种配置情况下是行不通的,但是在“CVE-2017-15715”中提到了可以使用%0a绕过,因为在上面正则中“.php$”代表以“.php”结尾或者“以.php”结尾加换行,可是一般情况下程序员获取文件后缀时会使用“$_FILES[‘file’][‘name’]”,它会自动过滤掉换行,这就让这个漏洞显得有些尴尬了。

大多情况下,我们遇到apache解析漏洞的是配置错误导致的,比如下面这条语句。

这种情况下,只要文件后缀包含“php”关键字,文件就会被作为php来解析。

1.2、nginx和iis7.5/7.0解析漏洞

此解析漏洞其实是php的配置错误导致。

php为了支持path info模式创造了fix_pathinfo这个选项,当它被打开时,fpm就会判断请求的文件是否存在,如果不存在就去掉最后一个\开始的内容,再次查看文件是否存在,不存在再去掉从\开的内容,循环往复。所以当请求 http://192.168.1.100/admin/upload/shell.jpg/.php这么个文件时,fpm会把/.php去掉把shell.jpg当作php执行。

后来出现了seccurity.limit_extensions选项,这个选项默认配置.php文件才能被fpm执行。

利用条件:

1、fast-cgi模式运行

2、Fix_pathinfo为1 (默认为1)

3、seccurity.limit_extensions选项允许。(默认只解析.php)

1.3、Iis5.x-6.x解析漏洞

使用iis5-6的基本都是Windows server 2003这种老服务器了。

这种老服务器默认一般只解析asp。

这个解析漏洞很简单,就两条:

1、以*.asp命名的文件夹下所有文件都以asp文件执行

2、*.asp;*.jpg这种形式的命名方式会自动会忽略掉;后的内容。

2、文件命名规则

2.1、windows命名规则

1、文件名长度最大为255个英文字符。(或者是127个中文字符+1个英文字符)

2、全路径最大长度最大为260个字符。

3、访问文件不区分大小写(部分应用程序使用时除外),显示文件时有大小写。

4、开头不能使用空格,其他地方可以。

5、文件名不能包含: < > | / \ * ? :

我在freebuf上看见过这篇文章:

https://www.freebuf.com/column/196404.html

总结的很好,此处就直接引用了。

其实分号;也符合。大家自己寻找应该还有一些符号也符合。

2.2、linux命名规则

1、文件名最大长度为255

2、全路径长度最大为4096(16级最大文件长度)

3、区分大小写

4、除“/”之外所有字符都可以使用

5、linux不以文件扩展名区分文件类型,对linux来说一切皆文件。

linux下通过命名规则绕过的话,可以尝试 \ 或者 && ; 等命令分割符号绕过

3、00截断

00截断常见的有%00、0×00等,他们都是表示ascii字符表中的保留字符chr(0)。

不管表示编码方式有啥区别,只要能让服务器正确解析为chr(0)就行。

00截断的原理:chr(0)表示结束。

限制条件:

小于php5.3.4 小于jdk1.7.0_40

未过滤chr(0),例如magic_quoes_gpc为off

4、长度截断

当文件名的长度超过系统允许的最大长度时,会将超出部分进行截断。

(部分系统不会进行截断,无法创建)

测试中可以使用二分法,不断尝试最大长度,然后进行截断。

5、竞争上传

当代码中的逻辑是先保存上传的文件,然后再判断上传文件是否合法时,便存在时间竞争条件漏洞。

首先写个生成马儿的马儿。

上传马儿,同时使用burpsuit不断请求马儿,或者写个脚本跑,

6、双上传

当代码中只对一处文件名做校验时,便存在双上传的漏洞。

使用burpsuit抓包改包或者F12修改前端代码都可以。

7、可解析后缀

不常见的可解析后缀:

1、ph(p[1-7]?|t(ml)?) \ shtml \ pwml

2、asa\asax\cer\cdx\aspx\ascx\ashx\asmx\asp{80-90}

3、jspx\jspf\jspa\jsw\jsv\jtml

8、.htacces和user.ini

首先先了解一下这俩文件,如下图:

这两种利用方式差不多,都是先上传配置文件,然后上传图片马之类的。

唯一不同是,user.ini是把图片内容附加在php脚本前面或者后面,类似于require()函数;

.htaccess是把图片内容用php来解析。

9、误用函数

empty()、isset()、strpos()、rename()、iconv()、copy()

参考 http://drops.wooyun.org/papers/1957

3)文件内容检测

1、图片马

一般情况下检测文件幻数、文件相关信息、文件渲染都可以通过制作的图片马进行绕过。

这里只讲文件渲染,因为能过文件渲染的图片马完全可以过上面那两种。

文件渲染顾名思义,就是对上传的文件进行加载渲染,例如加载图片检测是否能正常使用。

绕过方式:burpsuit改包 或者 copy 1.jpg /b + 2.php /a 3.jpg 生成图片马

2、二次渲染

二次渲染就不好过了,因为它会把图片中多余的语句去除,包括你的代码。

关于怎么制作过二次渲染的图片马,此处参考

https://xz.aliyun.com/t/2657

https://secgeek.net/bookfresh-vulnerability/

或者,直接用别人做好的图片马

https://github.com/Yang1k/upload-labs-Pass16

*本文原创作者:灭迹下的荒诞,本文属于FreeBuf原创奖励计划,未经许可禁止转载

相关 [file upload 思考] 推荐:

关于File Upload的一些思考

- - FreeBuf互联网安全新媒体平台
在web渗透中,文件上传是最简单直接的方式之一. 但是碰到完全不做校验的代码直接上传getshell,很难有这样的运气;大部分时候都有检测,甚至多处设卡. 若按设卡点的顺序来说可大致分为:前端js检验、防护检测(waf)、服务端检测. 这里就讲如何绕过服务端代码的检测,服务端会出现文件上传的什么安全配置.

log file sync总结

- - 数据库 - ITeye博客
log file sync等待时间发生在redo log从log buffer写入到log file期间. 下面对log file sync做个详细的解释. 1.commit或者rollback. 3.log buffer 1/3满或者已经有1M的redo数据.       更精确的解释:_LOG_IO_SIZE 大小默认是LOG_BUFFER的1/3,当log buffer中redo数据达到_LOG_IO_SIZE 大小时,发生日志写入.

上传进度支持(Upload progress in sessions)

- Taozi - 风雪之隅
作者: Laruence(. 本文地址: http://www.laruence.com/2011/10/10/2217.html. 文件上传进度反馈, 这个需求在当前是越来越普遍, 比如大附件邮件. 在PHP5.4以前, 我们可以通过APC提供的功能来实现. 或者使用PECL扩展uploadprogress来实现..

oracle的控制文件(control file)

- - CSDN博客数据库推荐文章
1: 对oracle database  files进行说明. 2: oracle doc 对 control file的定义. 3:查找oracle数据文件的三种方式. 控制文件是一个小小的二进制文件,是oracle数据库的一部分,这个控制文件是用于记录数据库的状态和物理结构. 每个数据库必须要至少一个控制文件,但是强烈的建议超过一个控制文件,每个控制文件的备份应该放在不同的磁盘上.

hbase权威指南: store file合并(compaction)

- - CSDN博客推荐文章
          hbase为了防止小文件(被刷到磁盘的menstore)过多,以保证保证查询效率,hbase需要在必要的时候将这些小的store file合并成相对较大的store file,这个过程就称之为compaction. 在hbase中,主要存在两种类型的compaction:minor  compaction和major compaction.

log file sync等待超高一例

- - CSDN博客数据库推荐文章
这是3月份某客户的情况,原因是服务器硬件故障后进行更换之后,业务翻译偶尔出现提交缓慢的情况. 我们可以看到,该系统的load profile信息其实并不高,每秒才21个transaction. 先来看看top5events:. 从top 5event,我们可以发现,log file sync的avg wait非常之高,高达124ms.

db file sequential read等待事件总结

- - CSDN博客数据库推荐文章
该等待事件的参数:file#,first block#,and block count(一般是1)可以从dba_extents去确定访问的段,属于I/O类的等待. The Oracle process wants a block that is currently not in the SGA, and it is waiting for the database block to be read into the SGA from disk..

细看 Google+ 里最有希望成为杀手级应用的 Instant Upload

- Jim - 谷奥——探寻谷歌的奥秘
我们已经见识了Google+里Circles的创新界面,Hangouts的10人群聊视频技术,横跨所有Google产品的导航条,但他们也许都只是噱头,而真正可以为Google+吸引大批用户的杀手级应用,可能是即拍即传的Android应用Instant Upload. 截止到2011年5月,Android每天的手机激活数量已经达到50万,全球已经售出超过1亿枚Android设备,而它们都是Google+的潜在终端用户.

使用 JavaScript File API 实现文件上传

- robin - IBM developerWorks 中国 : 文档库
File API 是 Mozilla 向 W3C 提出的一个草案,旨在用标准 JavaScript API 实现本地文件的读取. File API 将极大地方便 Web 端的文件上传等操作,并有望成为未来的 HTML 5 规范的一部分. 本文将介绍 File API 的概况,并用两个实例展示 File API 的应用.

Kindle File占美国Android平板出货量54.4%

- - 雷锋网
据comScore最新一项调查显示,亚马逊Kindle Fire出货量占美国Android平板电脑总出货量的54.4%,以绝对优势高居榜首,排名第二的三星Galaxy平板电脑市场份额仅为15.4%. 报告显示,Kindle Fire的市场份额相比去年12月增加了近一倍,其他如三星、摩托罗拉、华硕等企业的平板电脑市场份额都出现不同程度的下滑.