PHP文件上传漏洞

0x01 文件上传漏洞

文件上传漏洞顾名思义就是用户上传一个可执行的脚本文件,获得了执行服务器端命令的能力。通常,文件上传是getshell最常用、最直接的方式了。但是,文件上传本身是一个正常的业务需求,因此问题在于如何安全的上传。

0x02 文件上传的触发条件

  1. 上传的文件被Web容器解释执行

  2. 用户能够从web页面访问到被上传的文件(直接或间接)

  3. 用户上传的文件通常不能被网站程序压缩、修改内容

0x03 从防御的角度看上传

通常防御文件上传漏洞是分几个点的,大体上就以下几方面

1. 客户端javascript校验

在浏览加载文件,但还未点击上传按钮时变弹出对话框,内容可能是“只允许上传xxx后缀名的文件”之类的,而此时并没有发送数据包。

绕过方法:

  1. 关闭浏览器的javascript功能
  2. 用burp抓包改后缀名

2. 检测MIME 类型

· 客户端判断:

1
$_FILES['myfile']['type'] == 'image/jpeg'

· 服务端判断:

1
2
$fileinfo = finfo_open(FILEINFO_MIME);
$mimetype = finfo_file($fileinfo, $file_true_name);

绕过方法:

  1. 用burp抓包,修改Content-Type

3. 检查内容

服务器端会读取上传的文件然后判断文件内容时候有<?php之类的

绕过方法:
1.

1
2
<script language="php">eval($_POST['cmd']);</script>
`

  1. 如果检查文件头的话就就可以找张真正的图片然后用winhex在图片的末尾写php代码

4. 检查文件扩展名

一般检查文件扩展名为最直接有效的方法,通常是基于白名单或者黑名单来实现的。

黑名单绕过

  1. 可以使用能够被解析的其他文件扩展名

    1
    2
    3
    4
    jsp jspx jspf
    asp asa cer aspx
    php phtml php3 php4 php5 PHP phtm
    exe exee
  2. 特殊文件名绕过
    比如在上传的时候改成test.asp.或者test.asp_(下划线为空格,这里方便大家看用下划线表示了),这种命名方式在windows下是不允许的,绕过验证后windows系统自动去掉后面的点和空格,但要注意Unix/Linux是没有这个特性的。

  3. 00截断
    有的时候可能会遇到服务器端把后缀名已经定好了,而恰好别的地方有一个可以任意读取php文件的服务,这个时候可以把图片马上传后在这里查看,查看的时候用%00把后面的.php给截断就好了

  4. .htaccess文件攻击
    配合名单列表绕过,上传一个自定义.htaccess文件,即可轻松绕过各种检测。

  5. 解析漏洞绕过
    这类漏洞直接配合上传一个代码注入过的非黑名单文件即可,再利用解析漏洞即可

白名单绕过

  1. %00截断
    跟之前说的很像,就是上传一个比如shell.php%00.jpg,服务器检测后缀名是.jpg,但实际上已经被截断了。

  2. 解析漏洞利用
    这类漏洞直接配合上传一个代码注入过的白名单文件即可,再利用解析漏洞

  3. .htaccess文件攻击
    配合名单列表绕过,上传一个自定义.htaccess文件,即可轻松绕过

0x04 与文件上传息息相关的解析漏洞

  1. IIS5.x-6.x解析漏洞

•使用iis5.x-6.x版本的服务器,大多为windowsserver2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,而不能解析aspx文件。

•目录解析(IIS6.0),只要文件夹有asp的话,该目录下所有文件都会当作asp来解析

1
www.xxx.com/xx.asp/xx.jpg(xx.asp要存在)

1
www.xxx.com/xx.asp;.jpg

服务器默认不解析;号后面的内容,因此xx.asp;.jpg便被解析成asp文件了。(xx.asp;.jpg为上传文件)

  1. IIS的PUT上传

    PUT是在WebDav中定义的一个方法,允许用户上传文件到指定目录。
    在许多WebServer中都默认禁用了此方法,或者对上传做了严格限制。但在IIS中,如果目录支持写权限,同时开启了WebDav,就会支持PUT,再结合MOVE方法,可Getshell。

  2. apache解析漏洞

    Apache解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。
    比如test.php.owf.rar“.owf”和”.rar”这两种后缀是apache不可识别解析,apache就会把test.php.owf.rar解析成php

    1
    www.xxxx.xxx.com/test.php.php123

    Apache的httpd.conf的AddHandler php5-script .php这时只要文件名里包含.php即使文件名是test2.php.jpg也会以php来执行。(配置错误)

  3. nginx解析漏洞(Nginx<8.03)

•当cgi.fix_pathinfo开启时(为1)

•当访问www.xx.com/phpinfo.jpg/1.php时,会将phpinfo.jpg当做php进行解析

•其中1.php是一个不存在的文件

0x05 参考

  1. 某大佬的PPT

  2. 文件上传框架

本文标题:PHP文件上传漏洞

文章作者:Pino-HD

发布时间:2018年05月30日 - 22:05

最后更新:2018年05月30日 - 22:05

原始链接:https://pino-hd.github.io/2018/05/30/PHP文件上传漏洞/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。

坚持原创技术分享,您的支持将鼓励我继续创作!