前言

　　從一年前開(kāi)始學(xué)習(xí)web安全以來(lái)，一直都是在吸收零碎的知識(shí)，不斷地看書(shū)與一些前輩的文章，中間也經(jīng)過(guò)一些實(shí)踐，學(xué)習(xí)相關(guān)的工具，但是卻沒(méi)真真正正地在腦中形成一套完整的體系。從不久前就想著要寫(xiě)一些博客，趁著這個(gè)機(jī)會(huì)，便好好梳理一下所學(xué)的知識(shí)，只是這些文章所寫(xiě)大部分內(nèi)容也是搬運(yùn)前輩的文章，鮮有自己所想所悟。

　　關(guān)于文件上傳漏洞，百度一下便有許多文章出來(lái)，在這里我也稍稍做整理。

?

0x00 文件上傳漏洞所需滿(mǎn)足的條件

　　一是文件可上傳（感覺(jué)這一句是廢話(huà)）。二是上傳文件路徑可知，如果路徑不可知就沒(méi)法訪(fǎng)問(wèn)，亦無(wú)法配合諸如文件包含漏洞進(jìn)行文件執(zhí)行。三是上傳文件可以被訪(fǎng)問(wèn)。四是上傳文件可以被執(zhí)行，當(dāng)然這一步也不是必需的，比如配合文件包含漏洞。

?

0x01 文件上傳中的可控點(diǎn)

　　通過(guò)HTTP協(xié)議上傳文件的過(guò)程中，將通過(guò)POST請(qǐng)求對(duì)文件內(nèi)容進(jìn)行傳輸，而在HTTP請(qǐng)求包中，有可能存在的用戶(hù)可控點(diǎn)有幾個(gè)，接下來(lái)將以DVWA程序?yàn)槭纠?#xff1a;

　　以下是DVWA程序中上傳攻擊的請(qǐng)求包

1 POST /DVWA/vulnerabilities/upload/ HTTP/1.1 2 Host: 127.0.0.1 3 Content-Length: 5108 4 Cache-Control: max-age=0 5 Origin: http://127.0.0.1 6 Upgrade-Insecure-Requests: 1 7 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36 8 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryJUcYpiAjyVAzt5yA 9 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 10 Referer: http://127.0.0.1/DVWA/vulnerabilities/upload/ 11 Accept-Encoding: gzip, deflate, br 12 Accept-Language: zh-CN,zh;q=0.8 13 Cookie: security=low; PHPSESSID=plp6nm81is9eotcvfo3td8thp4 14 Connection: close 15 16 ------WebKitFormBoundaryJUcYpiAjyVAzt5yA 17 Content-Disposition: form-data; name="MAX_FILE_SIZE" 18 19 100000 20 ------WebKitFormBoundaryJUcYpiAjyVAzt5yA 21 Content-Disposition: form-data; name="uploaded"; filename="timg.jpg" 22 Content-Type: image/jpeg 23 24 ?? JFIF H H ? C 25 26 27 28 29 "" $(4,$&1'-=-157:::#+?D?8C49:7? C 30 31 32 33 34 7%%77777777777777777777777777777777777777777777777777? ? ?" ? ? < !1A"Qa?25Tqs慚#B伇%3R懥$b?? ? ? ? 騦O?昘? 無(wú)舧??X讃鞳氾簂O跁? QC +琸僅w?碑髭?遲 ???X?園gX讃鞳氾篯c]锏>k捐F溵t€灡跓5遲齝]锏>k捐['?:駛?|讅吁峸駒瑨浩賄*<讅觰峸駒瑸??飣]鱇琸僅w?d諤OX鞳氾篯c]锏>k捐k'?#]锏>k鵑浩賄j|讅婿J??飣]鱉?摞S婊顔I=c_味w?X鞳氾?2浩賄j|讅?F賄j|讅兄J?? }]鱅 35 ?qC筷(v洟1OjU鼸4@VI^?pwk?枂箥-憚B薫!聞椄輐-?3樒?TS?ィ挩c兙+nH蚥34?溒0椓'ON苧籖?+€Od??虹?l晽VJ?Od鯧K 嬪?Σ釕瑏瑲刷汥Bg7N鉧~h?5勈骽歧??Ml-偐癯`嚥)桰?I$?妠R崇筷(TV)鞪蠟 ā怹p?臋藩F玗$A?肴,n[謕弟輊縨媩B 36 w瑘t叜m??H檌鉅?? "﹖r熪~h%闕蕘cs咁"綆Зtn得?镺╩<O#V?挒j陂r鬁?(28?涫 ?zoE旒W I胰"s躻qM核猋s轍踃?Um瞇AW7Ｔ7T牞l噠J協(xié)}oG杵Zk?興*?k贓宦\nS 37 @罔S硙Jb々??k-m!Ζd鄈n鬾"n嵐粀頂I 38 8?jび+I笰嚹塽t? u惻M;篒d{嵥嵲Z?n檞k悋t?貗爲(wèi)%薧??妠N崇筷(dV)鞪繛 ā~$呮)Y#t-7^烝X蕣H?n追_婒展郱?$匆礀Fn譡duY頇幐(H箰{味V36<位芠sY蘘⊿f|n稱(chēng)??璓?FK勸?<q脜P^F丳鞟? ?d?隊(duì):(郯鎁f)\旯?nX漣?*$t?杠炩爗A7貶軤Z鸀錇?? ("腬)┾闈?┹D頫? 39 P><嵏挖縭︶z散特?  H? ?徟id宲7頭艈狁GN茊 2?Y癶K標(biāo);?蠺P狴镃^.\p煡鎠澦虛﹔45胑難4:?>x母v畷?7冚{ 40 埍_FW嵐蛖被jl紱?q粢毆F鎬炑@P胾o|b<e?舢8G厛?/ |V3濘?琶]徽?Xj?op謅魽Q禁?側(cè)們懜錆馕?Ym鮍N朔8?H,盿lR筷(0嵟漸W筮?慘?K⒛e? #逾iOG;楠c?鏇鑳馴 Dwq遁羉bj膚G? 娪?<Mk..諞愱I軤)祍:€>褍蘭N忥s$F踢揁塽瞇 嬤m儡)軫lG{黼-5PP鄲0\l@??猼峽佧_f嫄?劙zz'-$|J儲(chǔ)帓?? 愣b?Y^pe谾?h|\Q紴雛?C{rTmoL?籎駐lm蝅???PuP摑緣M灖餧v夼M屇铓??d摯#}応車(chē)帋HK3磦-蒣諺2zV?伝N儝梧?濬毖?w[1鏳E?觔6?~歳]t欈E鬦鐔J]閿Vsy栮 41 爬騈街@A泘狢東?寢鞖倭??蹭鑰"?D袟<工k瓛@^)?繛 ?zhēng)杼T 3嵇?關(guān) 澁焙駢酪?朅#E厤愪蓽様VF?jiǎn)F銹(笰>冋?蟻梎袥璿留緵1悒n薣刟懶al崙唨蹫騏?硬★杅]逯?姑(汳N蒯vX€癿瑒??佈?3&疰c媆玉 42 頕1戜gg?@蕪?錨k陘kz0'I踼H'焸紜崛?|糌?2?0s%臂??娪棲條_桻<oV姄H?;飯`|uQI1?x倥?┡?·閐依諏e遴y"宒s?p?捳p? 簴U梴仟轆<-V?c*~椬u(yù)賭OG隯肀%[侭)廌:9 ? k汮鴊戾鳡腷竻F 43 ji?輲練? 脝bN姃z'M<靮妯粌橃妻逗-_a?尰;H繆筲1|9覥IQ408枑#???槙4??)s?@貄V~ 44 e?u嗎c 45 ?鉺+c:灋藎?N嫆?O 櫬? λΛ緄澂? 揓[-J:熾?姛鎢= QB⒈O(jiān)i拯鼾Et`BO衁 W/拮?cng 絆? 姙92鹡F??t筤姑韉4La芽涽AkP蝮殉?麜?;存 ;E_oi蜙.w$e瞯ZE佌櫎<kc!軍歛狡毀X敉teθ"|Ls3Xh袙K浌袿滈縡昝A{怗+???呡虜|qd?8闕豯妳蝧A(#滈`/嗒j)櫥q銾雬e崅啟&=弓n?D碞sA 46 轎攂s裈懭;絣闤?0=窺瞲?0傋7此鳡閎妳攽榿飊彗`卩rW鈣 fO3籥筞掊煆A?/{?蹭裖PG}l摴4$Gv雮l蟀@騮??$蘌3??0踕F)?繛 ā?pu]懅睿貸渦?A>閼憓%滕 qfe燹芟舮?F鱑0啋{伈?"D\嬢敖伕鏆0cy衱?#癴?樘f遣-餈?禱惰豮E??T>8吵Kk⑩灡畞?5T挵A)MXE?石〃鏩蘾vm@; 7嵂麵3^琺m?獙"燢H寫(xiě)`? i篙莮H"栁$8?|祦慸絹6nm?A娏僡s衷藭?釵p颺/嬹?堅(jiān)=廳8蛋'Rz?Le@.x$蠔姶CR?貌??u庋?%古A醵贄泿+c襜逛[ˋ?酭SM#匾c#q穪Yh豌爹杲+琱8??郿菶箓賈P蔳?8胐汯釘澬帺`貟竨Q ( s璻嚚?3鮌簑涥＝?I$€躎幋嵇?j壟-謺= QP7O?v攝qt?me 47 o致&lO硑?誾?-鑉匕誼4蝹V濺膕銀W?tq腎镠禍冄醏;報(bào)?d_L屎帹J纚裭炵D忠?g`-餢焊烠\??幵w梔膽?嵯 48 欏ip悅7讱f魄8?式砇鰑.YF:B摚攲靘阇倪A ，?熼?7? ?CT鴫?盳蔿[?詘+ 疋嫲T革V隆睬?犲籓"y 駫季:h捺?鬼鍉_韞孯本粶F郫H??榌[b? 9w蚞@粄@崏@}<s獼7a)Is.?€乁7膀|?韢??7[給 &偤\6?樜R 49 ??涪艑JX郲 9??綆瓓枬畉?<?|??rFGl北棟A濰??捍 I$?1MqJ蠟 è『#???阱p醕e覿m呌蓃(8罬KS%<蹵???蕩騖ギ稵脹xk?€S跳?崽/@?l?G+鈰巊R冇ⅹ檫Sv?]?ㄓr?{%??v)丟(t?坖-俁硒? N僨燽戶(hù)UL滹鑲<敵冗P肀氦?V壹蕉潬鋹n 50 51 ?姮ET鉛D蜽?|ys婇鴟??&?歳?押?9幁qv桿8??[賧.iK奝鷝?"7cu伃?牁9僛;B<<Qt曺溋V3?{^(姪0?,O姞?乵 52 颾?I%KL苡6'J蟪.IWT?R蠽2紙溵兗滄`盧S4??oZ繻N吇奓F靛抎??勰琭!T曄瑟惠u┿m暪椹?b鈔込 ?q@譒扝I$?扝臡盳繛 è/{YK婝V崇筷*炇?)狣躧儧w$騆伮2偖JY矰lPK爗衵??籧uウ錦^S脫=礩鹲[闖溊1W欅罡?屬爈y5???姼t蹄QL撟?y??殙聼彞壓Y肞?G?*?倆+s? ?日酺U氓瑪?覑賄ME婤逩?懘?{M墜hめP菗??#A钁鯽?胡?3貶昦澇>:fZ盼:劾(?坈sa蘭轎漲歭B澩AWK鄡溮)扏捍$ $扏捍$b駒嵇?N+鞪蠟 āv@?偏涃t?m?€繹驚0磾?I?侚豯U?幦??€喑K?F?巑C乂尐格+藀犄A%舜裭0蘒???'H]適7蒩t1?hE鶢鄥拍dVU6&]偉裁闔￥樓軪宑2T?兗T圖??遰u篻?Rhm?巋#ItB?I$?捍I$?姏鈺= QB騃$S穞扐+禘?s?€c,:?II$?lQt祇侤AI$?&邯貺NJ摡庸$怶扟.?H億$?d7q!q狪 k慾I b?d扏埐d扏捍$? 53 ------WebKitFormBoundaryJUcYpiAjyVAzt5yA 54 Content-Disposition: form-data; name="Upload" 55 56 Upload 57 ------WebKitFormBoundaryJUcYpiAjyVAzt5yA--

　　其實(shí)對(duì)于整個(gè)HTTP請(qǐng)求包來(lái)說(shuō)，所有內(nèi)容都是用戶(hù)可控的，只是請(qǐng)求包中的幾個(gè)點(diǎn)有可能是后臺(tái)服務(wù)器的檢測(cè)重點(diǎn)，在上面的請(qǐng)求內(nèi)容中，加粗加大的紅色字體為可能的后臺(tái)檢測(cè)重點(diǎn)，主要有幾處：

　　1. Content-Length,即上傳內(nèi)容大小

　　2. MAX_FILE_SIZE,即上傳內(nèi)容的最大長(zhǎng)度

　　3. filename,即上傳文件名

　　4. Content-Type,即上傳文件類(lèi)型

　　5. 請(qǐng)求包中的亂碼字段，即是所上傳文件的內(nèi)容

　　6. 有可能存在請(qǐng)求包中的可控點(diǎn)還有上傳路徑，只是上面的示例中沒(méi)有出現(xiàn)

?

0x02 后臺(tái)的檢測(cè)點(diǎn)

　　依然是以DVWA的代碼為示例，分別展示一下DVWA不同等級(jí)下的代碼（雖然DVWA被人拿來(lái)示例了好多次，我還是厚著臉皮也用一次，畢竟簡(jiǎn)單易懂...）

　　1. low級(jí)別的檢測(cè)

1 <?php 2 3 if( isset( $_POST[ 'Upload' ] ) ) { 4 // Where are we going to be writing to? 5 $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 6 $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 7 8 // Can we move the file to the upload folder? 9 if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { 10 // No 11 $html .= '<pre>Your image was not uploaded.</pre>'; 12 } 13 else { 14 // Yes! 15 $html .= "<pre>{$target_path} succesfully uploaded!</pre>"; 16 } 17 } 18 19 ?>

　　low級(jí)別的代碼中，沒(méi)有進(jìn)行任何的檢測(cè)，便將文件上傳到指定目錄下，完事了還要告訴你文件上傳到哪里去了.......于是這里隨便修改文件名為可執(zhí)行腳本，文件內(nèi)容為一句話(huà)木馬，基本就完事了。我想大概不會(huì)遇到這樣的源碼了吧.....

?

　　2. medium級(jí)別的檢測(cè)

1 <?php 2 3 if( isset( $_POST[ 'Upload' ] ) ) { 4 // Where are we going to be writing to? 5 $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 6 $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 7 8 // File information 9 $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; 10 $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ]; 11 $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; 12 13 // Is it an image? 14 if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) && 15 ( $uploaded_size < 100000 ) ) { 16 17 // Can we move the file to the upload folder? 18 if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { 19 // No 20 $html .= '<pre>Your image was not uploaded.</pre>'; 21 } 22 else { 23 // Yes! 24 $html .= "<pre>{$target_path} succesfully uploaded!</pre>"; 25 } 26 } 27 else { 28 // Invalid file 29 $html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; 30 } 31 } 32 33 ?>

　　medium級(jí)別中的源碼只檢測(cè)了文件類(lèi)型與內(nèi)容長(zhǎng)度，也沒(méi)檢測(cè)文件名之類(lèi)的，至于繞過(guò)方案，自然是上傳可執(zhí)行腳本，文件名也是腳本擴(kuò)展名，修改請(qǐng)求頭中的Content-Type，至于Content-Size，對(duì)于腳本來(lái)說(shuō)一般都沒(méi)那么大。我想我也不太可能會(huì)遇到這樣的源碼了吧....

?

　　3. high級(jí)別的檢測(cè)

1 <?php 2 3 if( isset( $_POST[ 'Upload' ] ) ) { 4 // Where are we going to be writing to? 5 $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 6 $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 7 8 // File information 9 $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; 10 $uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); 11 $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; 12 $uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ]; 13 14 // Is it an image? 15 if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) && 16 ( $uploaded_size < 100000 ) && 17 getimagesize( $uploaded_tmp ) ) { 18 19 // Can we move the file to the upload folder? 20 if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) { 21 // No 22 $html .= '<pre>Your image was not uploaded.</pre>'; 23 } 24 else { 25 // Yes! 26 $html .= "<pre>{$target_path} succesfully uploaded!</pre>"; 27 } 28 } 29 else { 30 // Invalid file 31 $html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; 32 } 33 } 34 35 ?>

　　high級(jí)別的源碼中，分別有兩處檢測(cè)點(diǎn)，一是檢測(cè)了文件名后綴，二是檢測(cè)上傳內(nèi)容是否為圖像以及圖像大小，所用的函數(shù)為getimagesize()。對(duì)于第二點(diǎn)，只需要在內(nèi)容中增加文件頭標(biāo)識(shí)，即可繞過(guò)。對(duì)于第一點(diǎn)，由于其檢測(cè)了文件名后綴，那么在上傳過(guò)程中，就必需以jpg,png,jpeg結(jié)尾，這相當(dāng)于以白名單的方法過(guò)濾掉了上傳文件擴(kuò)展名為可執(zhí)行腳本后綴的可能，那么對(duì)于這種檢測(cè)的繞過(guò)，以我目前的知識(shí)來(lái)說(shuō)有兩種方法，一是結(jié)合文件包含漏洞進(jìn)行shell代碼的執(zhí)行，二是結(jié)合文件解析漏洞。而如果要結(jié)合文件解析漏洞的話(huà)，如果web容器是Apache，對(duì)于我來(lái)說(shuō)我覺(jué)得沒(méi)有辦法，因?yàn)檫@些白名單后綴名都是Apache所認(rèn)識(shí)的，最終去訪(fǎng)問(wèn)文件的時(shí)候Apache也是以圖片的形式去解析，我能想到的就是結(jié)合文件包含漏洞了。而如果web容器是IIS，因?yàn)閣eb腳本是php，那么需要的IIS版本為7.0/7.5，即可結(jié)合IIS7.0/7.5的解析漏洞去getshell。如果是Nginx亦是同樣的方法。

　　從這個(gè)級(jí)別的源碼中開(kāi)始看到對(duì)文件名進(jìn)行過(guò)濾的情況，而在后臺(tái)對(duì)文件名進(jìn)行過(guò)濾的方法（我所知道的）有兩種，一種是黑名單過(guò)濾，一種是白名單過(guò)濾。這兩種方法中，黑名單過(guò)濾屬于非常不保險(xiǎn)的過(guò)濾方法，針對(duì)該方法的繞過(guò)，亦由服務(wù)器操作系統(tǒng)的不同而不同，例如對(duì)于windows操作系統(tǒng)，由于windows不區(qū)分大小寫(xiě)，因此若將文件名后綴換成大寫(xiě)，也許可以繞過(guò)，或者是在文件名的最后加上.或者_(dá)，比如php.或者php_，由于這類(lèi)文件名在windows中是不允許的，所以在后臺(tái)上傳時(shí)windows會(huì)自動(dòng)將.或者_(dá)去掉，結(jié)果文件就以可執(zhí)行腳本的形式存在。而如果web容器是Apache，黑名單中若沒(méi)有.htaccess的限制，那么可以上傳.htaccess配置文件到目錄中覆蓋掉Apache的設(shè)置，可通過(guò)配置執(zhí)行webshell。針對(duì)白名單的攻擊，可以通過(guò)%00截?cái)?#xff0c;這個(gè)只能寄希望于代碼層的檢測(cè)邏輯出現(xiàn)問(wèn)題，又或者是結(jié)合web容器的解析漏洞來(lái)getshell。

　　4 impossible級(jí)別的檢測(cè)

1 <?php 2 3 if( isset( $_POST[ 'Upload' ] ) ) { 4 // Check Anti-CSRF token 5 checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 6 7 8 // File information 9 $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; 10 $uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); 11 $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; 12 $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ]; 13 $uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ]; 14 15 // Where are we going to be writing to? 16 $target_path = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/'; 17 //$target_file = basename( $uploaded_name, '.' . $uploaded_ext ) . '-'; 18 $target_file = md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext; 19 $temp_file = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) ); 20 $temp_file .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext; 21 22 // Is it an image? 23 if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) && 24 ( $uploaded_size < 100000 ) && 25 ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) && 26 getimagesize( $uploaded_tmp ) ) { 27 28 // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD) 29 if( $uploaded_type == 'image/jpeg' ) { 30 $img = imagecreatefromjpeg( $uploaded_tmp ); 31 imagejpeg( $img, $temp_file, 100); 32 } 33 else { 34 $img = imagecreatefrompng( $uploaded_tmp ); 35 imagepng( $img, $temp_file, 9); 36 } 37 imagedestroy( $img ); 38 39 // Can we move the file to the web root from the temp folder? 40 if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) { 41 // Yes! 42 $html .= "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>"; 43 } 44 else { 45 // No 46 $html .= '<pre>Your image was not uploaded.</pre>'; 47 } 48 49 // Delete any temp files 50 if( file_exists( $temp_file ) ) 51 unlink( $temp_file ); 52 } 53 else { 54 // Invalid file 55 $html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; 56 } 57 } 58 59 // Generate Anti-CSRF token 60 generateSessionToken(); 61 62 ?>

　　針對(duì)這個(gè)級(jí)別的檢測(cè)，我表示沒(méi)有辦法了，后臺(tái)代碼從28行開(kāi)始就對(duì)文件內(nèi)容進(jìn)行了渲染，而對(duì)于這方面我也沒(méi)了解過(guò)，不知道被渲染之后shell代碼會(huì)變成什么鬼，即使文件可被訪(fǎng)問(wèn)可執(zhí)行估計(jì)出來(lái)也是一堆亂碼。

?

0x03?Apache/IIS/Nginx 解析漏洞

　　1?Apache解析漏洞

　　關(guān)于Apache解析漏洞，主要是參考http://www.cnblogs.com/milantgh/p/5116955.html這篇文章，至于文中所說(shuō)的以module方式與PHP結(jié)合才會(huì)出現(xiàn)解析漏洞的結(jié)論我尚未去驗(yàn)證。Apache認(rèn)為一個(gè)文件可以有多個(gè)擴(kuò)展名，如文件名為shell.php.xxx.aaa.ccc的文件，Apache認(rèn)為該文件從左到右具有這幾個(gè)擴(kuò)展名,php、xxx、aaa、ccc，而對(duì)于一定擴(kuò)展名的處理方式由httpd.conf文件決定。在處理上例的文件中，Apache分別從右到左取其擴(kuò)展名，直到遇到配置文件中有設(shè)置的擴(kuò)展名，便以該類(lèi)文件處理。對(duì)于 上例，Apache先處理ccc，如果配置文件沒(méi)有ccc擴(kuò)展名,接下來(lái)則處理aaa，如果配置文件沒(méi)有aaa擴(kuò)展名，則再處理xxx，直到遇到php，Apache便將該文件以php的方式處理。因此，若遇到后臺(tái)是以黑名單過(guò)濾的情況，通過(guò)解析漏洞即可上傳shell文件。對(duì)于這個(gè)漏洞，我在自己電腦上搭建DVWA，采用的Apache版本為2.4.23，同樣會(huì)出現(xiàn)這個(gè)漏洞。

　　2 IIS解析漏洞

　　IIS6.0的解析漏洞有兩個(gè)。一為目錄解析漏洞，如果目錄名中包含".asp"字符串，那么對(duì)于該目錄下的所有文件都會(huì)以asp腳本執(zhí)行，所以這一漏洞是針對(duì)IIS6.0/asp的情況。二是對(duì)于文件名中后綴為".asp;任意字符"的文件，在解析時(shí)將會(huì)忽略";"后面的任何字符，將文件以asp解析。

　　另外針對(duì)IIS7.0/7.5的情況，在對(duì)PHP解析時(shí)，對(duì)于任意文件名，只要在文件名后面追加字符串"/任意字符.php"，那么IIS將會(huì)將該文件當(dāng)做PHP處理，而實(shí)際上該漏洞是與php-cgi有關(guān)。

　　3 Nginx解析漏洞

　　Nginx的解析漏洞也有兩個(gè)，對(duì)于任意文件名，可在其后面添加字符串"任意字符.php"，這個(gè)漏洞與上面的IIS漏洞相同，另外一個(gè)便是對(duì)于任意文件名，可以在其后面添加%00.php，即可構(gòu)成解析漏洞。

?

0x04 文件上傳的防御

　　個(gè)人覺(jué)得，文件上傳漏洞的防御，主要圍繞一開(kāi)始提到的幾點(diǎn)，一是文件上傳路徑，二是文件訪(fǎng)問(wèn)權(quán)限，三是文件執(zhí)行權(quán)限。并且由于業(yè)務(wù)關(guān)系，根據(jù)所上傳文件的類(lèi)型也需要進(jìn)行不同的防御。比如很多文件上傳點(diǎn)都在用戶(hù)頭像上，并且由于用戶(hù)登錄的時(shí)候需要顯示頭像，即在HTML源碼中會(huì)爆出路徑，因此對(duì)于圖片文件的防御方法，主要是采用白名單以及圖片渲染，這樣即使結(jié)合解析漏洞或者是文件包含漏洞也沒(méi)法getshell。另外的一種方法是將用戶(hù)上傳的文件都放到指定的目錄中，同時(shí)在服務(wù)器配置中設(shè)定該目錄下的所有文件不可執(zhí)行，但是該方法存在的風(fēng)險(xiǎn)即是在路徑可知的情況下配合文件包含漏洞即可突破。因此，個(gè)人覺(jué)得，針對(duì)文件上傳的最好防御方法即是讓上傳路徑不可知，將用戶(hù)上傳文件的路徑保存到數(shù)據(jù)庫(kù)中，并且在需要的時(shí)候再去讀取加載。

?

最后

　　學(xué)習(xí)網(wǎng)絡(luò)安全一年來(lái)，真是深深體會(huì)到這個(gè)坑有多深，從一開(kāi)始任何編程基礎(chǔ)都沒(méi)到現(xiàn)在，感覺(jué)依然在艱苦爬行，好在即使是小白，看的文章多了耳濡目染，也能開(kāi)始利用工具再加手工去發(fā)現(xiàn)一些小的漏洞，不過(guò)雖然坑深，但是當(dāng)將漏洞原理熟記于心中時(shí)，那種根據(jù)所學(xué)所得去挖漏洞并且成功時(shí)的成就感，卻是令人興奮。同時(shí)，對(duì)于這些漏洞的研究也不斷促使我去思考身邊的一切，現(xiàn)實(shí)生活中的各種場(chǎng)景是否像這些代碼一樣有漏洞？每每思及此，對(duì)于這個(gè)世界的看法便像是有了些不同。一個(gè)人的學(xué)習(xí)之路雖然辛苦，但是沉下心來(lái)卻是讓日子過(guò)得充實(shí)，盡管周?chē)粩嗍┘訅毫τ谏砩稀＿€有好多好多要學(xué)，我需要時(shí)間，與自己共勉

　　

轉(zhuǎn)載于:https://www.cnblogs.com/crazylocust/p/6759529.html

總結(jié)

以上是生活随笔為你收集整理的文件上传漏洞攻击与防御的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。