百度360必应搜狗淘宝本站头条
当前位置:网站首页 > 编程网 > 正文

网络安全之对文件上传的思考(文件上传功能中出现安全问题)

yuyutoo 2025-03-26 18:55 10 浏览 0 评论

在web渗透中,最简单直接的方式就是文件上传。但是不做任何检测,直接getshell的现在已经很少了.我在平时的授权测试中,遇到的大多数都是对上传的文件内容,格式等检测的比较多的

按前端到后端绕过顺序分为:前端js检验、代码防护检测(比如waf)、服务端检测

一、文件上传安全配置

二、绕过服务端的代码检测

服务端的代码常检测request包中的三个点:

1)MIME类型

2)文件后缀

3)文件内容

理论上请求包的任何参数都可以作为检测点,但是对于文件上传功能来说,用户提交的请求包中这三个

地方,是辨别是否为恶意文件的重要的三个点,服务端检测基本都是检测这三个地方

1)MIME类型检测

代码中只校验了http头中的MIME类型。

request包中content-type字段改为image/jpeg)

这个逻辑适用于很多情况,这也是安全的基础:不信任任何客户端提交的数据。

2)文件后缀检测

文件名后缀检测分两种情况:白名单和黑名单。

绕过白名单或黑名单有诸多姿势:“服务器解析漏洞” 、 “文件命名规则”、“%00截断”、“长度

截断”、“条件竞争”、“双文件上传”、“可解析后缀”、“.htacees和user.ini”、“误用函数”

等等。

1、服务器解析漏洞

1.1、apache解析漏洞

对于Apache服务器来说,哪些后缀可以被解析是由什么决定呢?

apache中有一个关于php的默认配置文件,其中用正则指定了哪些后缀使用哪些解析器。

apache解析一个特点,解析文件时是从右往左判断,遇到不认识的后缀时,就跳过,于是就有了类似于

“.php.123”这种绕过方式。大多情况下,我们遇到apache解析漏洞的是配置错误导致的

1.2、nginx和iis7.5/7.0解析漏洞

此解析漏洞其实是php的配置错误导致。

php为了支持path info模式创造了fix_pathinfo这个选项,当它被打开时,fpm就会判断请求的文件是

否存在,如果不存在就去掉最后一个\开始的内容,再次查看文件是否存在,不存在再去掉从\开的内容

,循环往复。所以当请求
http://192.168.1.100/admin/upload/shell.jpg/.php这么个文件时,fpm会

把/.php去掉把shell.jpg当作php执行。

后来出现了
seccurity.limit_extensions选项,这个选项默认配置.php文件才能被fpm执行。

利用条件:

1、fast-cgi模式运行

2、Fix_pathinfo为1 (默认为1)

3、
seccurity.limit_extensions选项允许(默认只解析.php)

1.3、iis5.x- iis6.x解析漏洞

使用iis5--iis6的基本都是Windows server 2003这种老服务器了。

这种老服务器默认一般只解析asp。

这个解析漏洞很简单,就两条:

1、以*.asp命名的文件夹下所有文件都以asp文件执行

2、.asp;.jpg这种形式的命名方式会自动会忽略掉;后的内容。

2、文件命名规则

2.1、windows命名规则

1、文件名长度最大为255个英文字符。(或者是127个中文字符+1个英文字符)

2、全路径最大长度最大为260个字符。

3、访问文件不区分大小写(部分应用程序使用时除外),显示文件时有大小写。

4、开头不能使用空格,其他地方可以。

5、文件名不能包含:< > | / \ * ? :

2.2、linux命名规则

1、文件名最大长度为255

2、全路径长度最大为4096(16级最大文件长度)

3、区分大小写

4、除“/”之外所有字符都可以使用

5、linux不以文件扩展名区分文件类型,对linux来说一切皆文件。

linux下通过命名规则绕过的话,可以尝试 \ 或者 && ; 等命令分割符号绕过

3、00截断

00截断常见的有%00、0x00等,他们都是表示ascii字符表中的保留字符chr(0)。

不管表示编码方式有啥区别,只要能让服务器正确解析为chr(0)就行。

00截断的原理:chr(0)表示结束。

限制条件:

小于php5.3.4 小于jdk1.7.0_40

未过滤chr(0),例如magicquoesgpc为off

4、长度截断

当文件名的长度超过系统允许的最大长度时,会将超出部分进行截断。

(部分系统不会进行截断,无法创建)

测试中可以使用二分法,不断尝试最大长度,然后进行截断。

5、条件竞争上传

当代码中的逻辑是先保存上传的文件,然后再判断上传文件是否合法时,便存在时间竞争条件漏洞。

首先写个生成马儿的马儿。

上传马儿,同时使用burpsuit不断请求马儿,或者写个脚本跑,

6、双文件上传

当代码中只对一处文件名做校验时,便存在双上传的漏洞。

使用burpsuit抓包改包或者F12修改前端代码都可以。

7、可解析后缀

不常见的可解析后缀:

1、ph(p[1-7]?|t(ml)?) ,shtml,pwml

2、asa ,asax, cer, cdx ,aspx,ascx,ashx,asmx,asp,

3、jspx,jspf,jspa,jsw,jsv,jtml

8、.htacces和user.ini

利用方式差不多,都是先上传配置文件,然后上传图片马之类的。

唯一不同是,user.ini是把图片内容附加在php脚本前面或者后面,类似于require()函数;

.htaccess是把图片内容用php来解析。

9、误用函数

empty()、isset()、strpos()、rename()、iconv()、copy()

3)文件内容检测

1、图片马

一般情况下检测文件相关信息、文件渲染都可以通过制作的图片马进行绕过。

文件渲染顾名思义,就是对上传的文件进行加载渲染,例如加载图片检测是否能正常使用。

绕过方式:burpsuit改包 或者 copy 1.jpg /b + 2.php /a 3.jpg 生成图片马

2、二次渲染

二次渲染就不好过了,因为它会把图片中多余的语句去除,包括你的代码。

关于怎么制作过二次渲染的图片马,建议直接用别人做好的图片马

相关推荐

苹果要求全新App开发四月起必须支持“齐刘海”

今日消息,苹果公司通过邮件告知应用程序开发者,从2018年4月起提交给AppStore的所有新应用必须支持iPhoneX的超级视网膜显示器。这意味着新应用程序的开发者必须确保它们适应“齐刘海”,并...

耗时一年多,QEMU开发者成功在电脑上模拟了初版iPhone OS

IT之家12月24日消息,用户通过黑苹果(Hackintosh)工具,已经可以在非Mac设备上运行macOS系统。但由于种种限制,至今也没有多少人能够在PC上运行iOS系统。现...

下个月的WWDC后,苹果将发布原生Watch SDK测试版本

在近日Re/code举办的CodeConference上,苹果的运营副总裁JeffWilliams称,目前有4000多个AppleWatch应用上线,而未来的苹果表开发者套件,将允许开发者直接获...

苹果再次提醒:4月起强制要求APP进行适配

点击右上角关注我们,每天给您带来最新最潮的科技资讯,让您足不出户也知道科技圈大事!软件适配对于许多厂商来说都是一个比较头疼的事,苹果在握紧AppStore审核权的情况下情况要好许多。最近他们公布了...

苹果Xcode 16首个Beta版发布,AI代码补全最少需16GB内存

IT之家6月12日消息,在苹果WWDC24开发者大会上,苹果发布了iOS18、macOS15Sequoia等最新版本系统更新。与此同时,苹果推出了Xcode16开发工具的首...

传苹果已向特定开发者开放iWatch SDK

|责编:薄志强苹果会不会在这次发布会中发布全新的智能手表产品iWatch还很难说,不少人认为由于iWatch的消息少之又少,很可能这次还是没有iWatch。不过现在又有外媒传出消息称,苹果已经选定了...

苹果发布Swift 6语言:引入新测试框架、增强C++ 互操作性

IT之家9月20日消息,科技媒体devclass昨日(9月19日)报道,苹果公司在发布iOS/iPadOS18和macOS15Sequoia系统之外,还发布了Sw...

发布Siri SDK 之前苹果还是先想想这个问题

今年的GoogleI/O大会上,在预览GoogleHome时,我们就看到了设备可以互相对话的场景是多么惊艳,苹果快点跟上吧。最近因为亚马逊Echo和谷歌GoogleHome的火热...

iOS 17.2 SDK代码确认古尔曼爆料:免开箱更新苹果iPhone系统

IT之家10月27日消息,彭博社的马克古尔曼(MarkGurman)本月早些时候发布报道,称苹果正在研发新的系统,可以让员工在不拆开包装的情况下,升级iPhone的iOS系统。根据国...

《企业应用架构模式》之事件驱动架构

事件驱动架构(Event-DrivenArchitecture,EDA)是一种强调事件流和异步通信的应用程序架构。在该架构中,应用程序被分解为多个小型、可独立部署的组件,这些组件通过事件进行通信...

k8s中常用的controller以及用途和对应机制

controller的用途ReplicaSet、Deployment、StatefulSet:用于无状态和有状态应用的副本管理。DaemonSet:确保每个节点上都运行一个副本的控制器。...

Disruptor框架源码阅读-如何不重复消费

RingBuffer如何保证数据不丢失由于ringbuffer是一个环形的队列,那么生产者和消费者在遍历这个队列的时候,如何制衡呢?1、生产快,消费慢,数据丢失?生产者速度过快,导致一个对象还没消...

C# 控制电脑睡眠,休眠,关机以及唤醒

最近碰到一个关于芯片测试过程中的问题,这颗芯片是用在笔记本端口上,笔记本客户那边会有一个压力测试,就是频繁的电脑电源状态切换,S0(正常使用的开机状态),S3(睡眠模式),S4(休眠模式)以及S5(关...

大厂防止超卖的7种实现,很受用!(大厂防止超卖的7种实现,很受用的产品)

高并发场景在现场的日常工作中很常见,特别是在互联网公司中,这篇文章就来通过秒杀商品来模拟高并发的场景。本文环境:...

臻识车牌识别配制MQTT通讯,解析车号

在物联网项目中,我们的软件与车牌识别通讯,通常使用MQTT通讯更简单。...

取消回复欢迎 发表评论: