安全渗透工程师的对手:程序员,安全运维工程师

概念

文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断。比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。所以,在设计文件上传功能时,一定要对传进来的文件进行严格的安全考虑。比如:

  1. 验证文件类型、后缀名、大小;
  2. 验证文件的上传方式;
  3. 对文件进行一定复杂的重命名;
  4. 不要暴露文件上传后的路径;

漏洞的形式很简单,就是直接上传了网页木马!可是,怎么就能直接传上去了呢?

实践操作

我们还是以pikachu为靶场为大家做演示,打开pikachu靶场:
image.png

我们先准备好我们自己的POST webshell for php的。
image.png

客户端校验

  1. 通过javascript来校验上传文件的后缀是否合法,可以采用白名单,也可以采用黑名单的方式。
  2. 判断方式:在浏览加载文件,但还未点击上传按钮时便弹出对话框,内容如:只允许上传.jpg/.jpeg/.png后缀名的文件,而此时并没有发送数据包。

从我们的图库里面随便找一张图片,选择好以后,点击上传。看效果:
image.png
我们可以看到 图片已经被上传到了当前目录的uploads目录下面。
image.png

开脑洞的测试

我们能否直接传一个webshell木马上去了,如果传上去了,就可以直接执行了。看之前上传的文件,文件名和文件的后缀都没有被改变,原封不动的就被上传上去了。于是测试了一下,结果如下:
image.png
注意:

  1. 反馈速度很快,直接就提示上传的文件不符合要求!
  2. 这个反馈框框是javascript的提示框。

综上,这个拦截,极度有可能是客户端的本地js代码拦截。

继续开脑洞的测试

如果我们把这个拦截的代码去掉,或者说不让这段拦截代码执行会如何(最简单的方式是直接禁用javascript)。通过F12抓包,我们明确的可以看出,基本上数据就没有提交到服务器端校验,完全就是在本地client进行校验的。
image.png
用f12工具里的元素定位,我们定位到上传按钮,我们可以迅速的定位到选择文件的地方有对文件类型进行检查的js代码。
image.png
我们可以做的就是,直接把这个函数干掉即可。
干掉以后就是这样的了:
image.png
然后我们再试试:
还是一样! why?
因为我们改的是代码,而onchange的函数已经生效了。那我们直接去对应的函数里面增加上传类型:
image.png
所以我们去增加了一个php的类型,也是没效果的。 直接参与javascript的执行,重新写一个checkFileExt函数来替换内存中的文件检查函数。
image.png
这下,浏览器终于安静了。
image.png

同样,我们是否可以定位到这个元素,把onchange事件临时给去掉呢?方便那些不会写代码的同学。不会写代码,至少要学会定位。
image.png\
直接用鼠标选择复制元素的selector,则可以看到。终于就把这个回调函数给搞空了。也很方便。
image.png
安心上传了。

有其他的方法吗?

有!如果至少简单的检查了一下上传文件的扩展名,我们只需要把webshell.php改成正确的扩展名,如 webshell.jpg。上传的时候,我们用BS来抓包。然后我们用repeat来重放。重放的时候记得把jpg改成php再提交一下。核心原理就是:直接往服务器提交数据包,绕过了浏览器的校验。同学们自己在本机模拟环境自己实践一下。
image.png

服务器端的校验

服务器端有什么校验手段呢?

校验请求头 content-type字段(服务端MIME类型检测)

例如用PHP检测:

<?php if($_FILES[‘file’][‘type’] != “image/gif”) { echo”Sorry, we only allow uploading GIF images”; exit; } $uploaddir = ‘./‘; $uploadfile = $uploaddir . basename($_FILES[‘file’][‘name’]); if (move_uploaded_file($_FILES[‘file’][‘tmp_name’], $uploadfile)) { echo “File is valid, and was successfully uploaded.\n”; } else { echo “File uploading failed.\n”; } ?>

这里是程序员的硬编码。
image.png
我们只能把它修改为对方满足要求的格式。image/jpeg

文件内容头校验

一些上传的地方会检测文件内容头判断是不是允许上传的文件类型,不同类型的文件文件头也是不一样的。例如jpg图片:
image.png

服务端对应的验证文件头的代码:

<?php class FileTypeValidation { // 文件类型,不同的头信息 private static $_fileFormats = Array( ‘jpeg’ => ‘FFD8FF’, ‘jpg’ => ‘FFD8FF’, ); /**

  • 检查文件类型 *
  • @param string $filePath 文件路径
  • @param string $fileExt 文件扩展名 *
  • @return boolean / public static function validation($filePath, $fileExt) { // 文件格式未知 if (!isset(self::$_fileFormats[$fileExt])) { return false; } $length = strlen(self::$_fileFormats[$fileExt]); $bin = self::_readFile($filePath, $length); $fileHead = @unpack(“H{$length}”, $bin); // 判断文件头 if (strtolower(self::$_fileFormats[$fileExt]) == $fileHead[1]) { return true; } return false; } /*
  • 读取文件内容 *
  • @param string $filePath 文件路径
  • @param integer $size *
  • @return string */ private function _readFile($filePath, $size) { $file = fopen($filePath, “rb”); $bin = fread($file, $size); fclose($file); return $bin; } }

if(isset($_GET[‘a’])){ echo ‘ ‘; $a = $_GET[‘a’]; if($a==1){

//获取文件的大小
$file_size=$_FILES[‘myfile’][‘size’];
if($file_size>210241024) {
echo “文件过大,不能上传大于2M的文件”;
exit();
}

$file_type=$_FILES[‘myfile’][‘type’];
echo $file_type;
if($file_type!=”image/jpeg” && $file_type!=’image/pjpeg’) {
echo “文件类型只能为jpg格式”;
exit();
}

//判断是否上传成功(是否使用post方式上传)
if(is_uploaded_file($_FILES[‘myfile’][‘tmp_name’])) {
//把文件转存到你希望的目录(不要使用copy函数)
$uploaded_file=$_FILES[‘myfile’][‘tmp_name’];

$x = FileTypeValidation::validation($uploaded_file, ‘jpg’); if(!$x){ echo “文件头验证失败”;
exit(); }

//我们给每个用户动态的创建一个文件夹
$user_path=$_SERVER[‘DOCUMENT_ROOT’].”/up”;
//判断该用户文件夹是否已经有这个文件夹
if(!file_exists($user_path)) {
mkdir($user_path);
}

//$move_to_file=$user_path.”/“.$_FILES[‘myfile’][‘name’];
$file_true_name=$_FILES[‘myfile’][‘name’];
$move_to_file=$user_path.”/“.$file_true_name;
//echo “$uploaded_file $move_to_file”;
if(move_uploaded_file($uploaded_file,iconv(“utf-8”,”gb2312”,$move_to_file))) {
echo $_FILES[‘myfile’][‘name’].”上传成功”;
} else {
echo “上传失败”;
} } else {
echo “上传失败”;
}
} } ?>

上面代码验证了文件头符合jpg类型的才可以上传成功。如果跟我们章节1里提到的方式去上传文件的话,就会发现这招不行了。

开个脑洞

这个世界上有两全其美的事情么? 一般来说,很难。但在电脑的世界里,如果可以同时满足2个条件的时候,也是蛮多的。这都得感谢我们可爱的程序员,他们中的少数在编程的时候,逻辑不够缜密造成这样的漏洞。对方如果要校验图片头,我们就给它一个真的图,然后再图的后面跟上一个php一句话木马就可以了。为了方便测试,我们可以把这个图设计的很小。
image.png
延伸知识:文件幻数检测
JPG : FF D8 FF E0 00 10 4A 46 49 46
GIF : 47 49 46 38 39 61 (GIF89a)
PNG: 89 50 4E 47
绕过方法:
在文件幻数后面加上自己的一句话木马就行了。
文件相关信息检测:
一般就是检查图片文件的大小,图片文件的尺寸之类的信息。
绕过方法:
伪造好文件幻数,在后面添加一句话木马之后,再添加一些其他的内容,增大文件的大小。

后缀名黑名单校验

黑名单的安全性比白名单低很多,服务器端,一般会有个专门的blacklist文件,里面会包含常见的危险脚本文件类型,例如:html | htm | php | php2 | hph3 | php4 | php5 | asp | aspx | ascx | jsp | cfm | cfc | bat | exe | com | dll | vbs | js | reg | cgi | htaccess | asis | sh |phtm | shtm |inc等等。
黑名单扩展名过滤,限制不够全面:IIS默认支持解析.asp | .cdx | .asa | .cer等

<?php function getExt($filename){ //sunstr - 返回字符串的子串 //strripos — 计算指定字符串在目标字符串中最后一次出现的位置(不区分大小写) return substr($filename,strripos($filename,’.’)+1); } if($_FILES[“file”][“error”] > 0) { echo “Error: “ . $_FILES[“file”][“error”] . “
“; } else{ $black_file = explode(“|”,”php|jsp|asp”);//允许上传的文件类型组 $new_upload_file_ext = strtolower(getExt($_FILES[“file”][“name”])); //取得被.隔开的最后字符串 if(in_array($new_upload_file_ext,$black_file)) { echo “文件不合法”; die(); } else{ $filename = time().”.”.$new_upload_file_ext; if(move_uploaded_file($_FILES[‘file’][‘tmp_name’],”upload/“.$filename)) { echo “Upload Success”; } } } ?>

虽然不被允许的文件格式.php,但是可以上传文件名为shell.php_(下划线是空格),IIS支持,linux不支持。总结如下:

  1. 文件名大小写绕过用像 AsP,pHp 之类的文件名绕过黑名单检测。
  2. 用黑名单里没有的名单进行攻击,比如黑名单里没有 asa 或 cer 之类。
  3. 比如发送的 http 包里把文件名改成 test.asp. 或 test.asp_(下划线为空格),这种命名方式 在 windows 系统里是不被允许的,所以需要在 burp 之类里进行修改,然后绕过验证后,会 被 windows 系统自动去掉后面的点和空格,但要注意 Unix/Linux 系统没有这个特性。
  4. 文件名后缀就一个%00字节,可以截断某些函数对文件名的判断。在许多语言函数中处理函数中,处理字符串中,在扩展名检测这大部分都是 asp 的程序有这种漏洞,给个简单的伪代码。

    Name = getname(http requests)//假如这一步获取到的文件名是dama.asp .jpg Type = gettype(name)//而在该函数中,是从后往前扫描文件扩展名,所以判断为jpg文件 If(type == jpg) SaveFileToPath(UploadPath.name , name)//但在这里却是以0x00作为文件名截断,最后以dama.asp存入路径里

操作方法:上传dama.jpg,BS抓包,将文件名改为dama.php%00.jpg,选中%00,进行url-decode
截断条件:php版本小于5.3.4,php的magic_quotes_gpc为OFF状态

  1. .htaccess 文件攻击。配合名单列表绕过,上传一个自定义的.htaccess,就可以轻松绕过各种检测,该文件仅在Apache平台上存在,.htaccess文件是Apache服务器中的一个配置文件,它负责相关目录下的网页配置。通过.htaccess文件,可以实现:网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能IIS平台上不存在该文件,该文件默认开启,启用和关闭在httpd.conf文件中配置。该文件的写法如下:
    SetHandler application/x-httpd-php

这个文件特性,很像dotnet下面的web.config


文件加载检测

通过例如加载文件进行图像渲染的方式来测试,这个时候就一般需要在正常的文件中插入木马代码了,例如图像,那么插入的代码一般会放在图像的注释区,因此不会影响图像正常渲染绕过这种检测,此时可以使用工具(称为插马器)来进行插入,例如edjpgcom,或者直接用copy命令来合成也可以。当然这种检测不一定能够完全绕过。
1、一次渲染(代码注入)。把恶意代码写入到了图片的其他非图像字段。
2、二次渲染。如果2次渲染,去掉了注释或者exif的内容,就可能绕不过了。

解析漏洞

这类漏洞是本身服务器的中间件产生的,例如apache,nginx都被爆出过存在解析漏洞,存在解析漏洞的话,上传的安全性几乎就完全失去了,下面再详细分析。

IIS5.x-6.x解析漏洞

使用iis5.x-6.x版本的服务器,大多为windows server 2003,网站比较古老,开发语句一般为asp;该解析漏洞也只能解析asp文件,而不能解析aspx文件。
目录解析(6.0)
形式:www.xxx.com/xx.asp/xx.jpg 原理: 服务器默认会把.asp,.asp目录下的文件都解析成asp文件。
文件解析
形式:www.xxx.com/xx.asp;.jpg 原理:服务器默认不解析;号后面的内容,因此xx.asp;.jpg便被解析成asp文件了。 解析文件类型,IIS6.0 默认的可执行文件除了asp还包含这三种 :

/test.asa
/test.cer
/test.cdx

apache解析漏洞

漏洞原理
Apache 解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如test.php.qwe.asd “.qwe”和”.asd” 这两种后缀是apache不可识别解析,apache就会把wooyun.php.qwe.asd解析成php。漏洞形式:

www.xxxx.xxx.com/test.php.php123

其余配置问题导致漏洞

  1. 如果在 Apache 的 conf 里有这样一行配置 AddHandler php5-script .php 这时只要文件名里包含.php 即使文件名是 test2.php.jpg 也会以 php 来执行。
  2. 如果在 Apache 的 conf 里有这样一行配置 AddType application/x-httpd-php .jpg 即使扩展名是 jpg,一样能以 php 方式执行。

修复方案

  1. apache配置文件,禁止.php.这样的文件执行,配置文件里面加入
  2. 用伪静态能解决这个问题,重写类似.php.*这类文件,打开apache的httpd.conf找到

LoadModule rewritemodule modules/modrewrite.so 把#号去掉,重启apache,在网站根目录下建立.htaccess文件


RewriteEngine On
RewriteRule .(php.|php3.) /index.php
RewriteRule .(pHp.|pHp3.) /index.php
RewriteRule .(phP.|phP3.) /index.php
RewriteRule .(Php.|Php3.) /index.php
RewriteRule .(PHp.|PHp3.) /index.php
RewriteRule .(PhP.|PhP3.) /index.php
RewriteRule .(pHP.|pHP3.) /index.php
RewriteRule .(PHP.|PHP3.) /index.php

nginx解析漏洞

漏洞原理:
Nginx默认是以CGI的方式支持PHP解析的,普遍的做法是在Nginx配置文件中通过正则匹配设置SCRIPT_FILENAME。当访问 www.xx.com/phpinfo.jpg/1.php这个URL时, $fastcgi_script_name会被设置为 “phpinfo.jpg/1.php”,然后构造成 SCRIPT_FILENAME传递给PHP CGI,但是PHP为什么会接受这样的参数,并将phpinfo.jpg作为PHP文件解析呢?这就要说到fix_pathinfo这个选项了。 如果开启了这个选项,那么就会触发在PHP中的如下逻辑:
PHP会认为SCRIPTFILENAME是phpinfo.jpg,而1.php是PATHINFO,所以就会将phpinfo.jpg作为PHP文件来解析了。漏洞形式:

www.xxxx.com/UploadFiles/image/1.jpg/1.php
www.xxxx.com/UploadFiles/image/1.jpg %00.php
www.xxxx.com/UploadFiles/image/1.jpg/ %20.php

IIS7.5解析漏洞

IIS7.5的漏洞与nginx的类似,都是由于php配置文件中,开启了 cgi.fix_pathinfo,而这并不是nginx或者iis7.5本身的漏洞。

操作系统相关

  1. 上传不符合windows文件命名规则的文件名

    test.asp.
    test.asp(空格)
    test.php:1.jpg
    test.php::$DATA
    shell.php::$DATA…….

会被某些版本的windows系统自动去掉不符合规则符号后面的内容。

  1. linux下后缀名大小写 linux是大小写敏感的,因此一般检测也会区分大小写,但某些解析器是不区分大小写的,例如PHP,上传php不被解析,可以试试上传pHp后缀的文件名。
  2. CMS、编辑器漏洞 CMS漏洞: 可以针对不同CMS存在的上传漏洞进行绕过。
  3. 编辑器漏洞:比如FCK,ewebeditor等,可以针对编辑器的漏洞进行绕过。

常见WAF绕过姿势

  1. 大小上限:WAF对校验的用户数据设置大小上限,此时可以构造一个大文件的木马,前面都是填充的垃圾内容。
  2. filename:针对早期版本的安全狗,可以多加一个filename来绕过。

文件上传类* - 图18
或者可以通过吧filename放在非常规的位置来绕过(这里的filename指在http请求头中上传的文件名字)
image.png
image.png

最简单的图片木马

copy /b 1.jpg+2.php


文件校验的建议

  • 文件扩展名服务端白名单校验。
  • 文件内容服务端校验。
  • 上传文件重命名。
  • 隐藏上传文件路径。

以上几点,可以防御绝大多数上传漏洞,但是需要跟服务器容器结合起来。如果解析漏洞依然存在,那么没有绝对的安全。

总结

条件: 寻找一个上传点,查看上传点是否可用。
利用

  1. 首先判断是程序员自己写的上传点,还是编辑器的上传功能。
    如果是编辑器上传功能,goolge当前编辑器的漏洞。
    如果是程序员写的上传点:
  2. 上传一个正常的jpg图片 查看上传点是否可用
  3. 上传一个正常的jpg图片,burp拦截,修改后缀为php (可以检测前端验证 MIME检测 文件内容检测 后缀检测)
  4. 上传一个正常的jpg图片,burp拦截, 00截断 1.php%00.jpg
  5. 判断服务器是什么类型,web服务器程序,是什么类型,版本号多少
    利用解析漏洞。

靶场练习1

在线练习pichaku靶场的内容
image.png

php getimagesize 函数 - 获取图像信息

getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。

<?php list($width, $height, $type, $attr) = getimagesize(“runoob-logo.png”); echo “宽度为:” . $width; echo “高度为:” . $height; echo “类型为:” . $type; echo “属性:” . $attr; ?>

宽度为:290 高度为:69 类型为:3 属性:width=”290” height=”69”

课后靶场练习

https://www.yuque.com/rustdream/ntdkl2/igykrw