文件上传漏洞技术基础

文件上传漏洞：

1.本地验证

本地验证：客户端本地通过前台JS脚本进行检测。

原理：

当用户在客户端选择文件点击上传的时候，客户端会在向服务器发送请求之前，就先对将上传的本地文件类型进行检测，来判断是否是可以上传的类型，这种方式称为前台脚本检测，即本地验证。
如何判断是本地验证呢？很多情况下感觉速度较快的返回信息则认为有可能是本地验证，但是有的时候需要根据抓报以及跟踪上传代码来分析出是否为本地验证。

绕过：

绕过前台脚本检测扩展名，就是要使检测函数失效。
- 可以绕过检测规则；
- 可以修改检测规则；
- 在数据传输中修改数据包内容。

1. 绕过检测规则

检查网页源码，看能否找到文件上传点附近调用检测函数的痕迹。

像这里我们能看到onsubmit="return checkFile()"就是调用了检测函数。
我们可以采取直接修改前台代码的方式。取消检测函数的调用，再进行文件上传。
注意：这种修改只是在本地上修改，是临时的，刷新页面即可还原。

还有一种绕过方式，就是干脆在本地浏览器客户端禁用JS。可使用火狐浏览器的NoScript插件、IE中禁用掉JS等方式实现。

2. 修改检测规则

检查网页源码，看能否找到文件过滤函数。

如果找到了，我们就可以通过直接修改这个JS函数，使它能够上传我们需要的文件。
注意：这种修改只是在本地上修改，是临时的，刷新页面即可还原。

3. 修改数据包

首先将所要上传文件的扩展名更改为符合脚本检测规则的扩展名，通过BurpSuite等抓包工具，截取数据包，并将数据包中文件扩展名更改为所需要的扩展名，达到绕过的目的。

例如:文件名本来为【evil.jpg】，上传时，用BurpSuite截包后，将数据包中的名字改为【evil.php】(或其它脚本类型)即可。

2.MIME类型检测绕过漏洞

服务器端根据 content-type 类型检测，如果是白名单允许的，则可以正常上传，否则上传失败。

MIME

MIME:客户端软件，区分不同种类的数据，例如web浏览器就是通过MIME类型来判断文件是GIF图片，还是可打印的PostScript文件。web服务器使用MIME来说明发送数据的种类， web客户端使用MIME来说明希望接收到的数据种类。

MIME检测原理

服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法的。

php示例代码：

<?php    if($_FILES['userfile']['type'] != "image/gif") {   //检测Content-type  //当上传文件的type不为`image/gif`时，程序不执行文件保存操作，直接退出。  //当上传文件的type是`image/gif`时，程序跳出if语句，执行文件保存操作。    echo "Sorry, we only allow uploading GIF images";  exit;  }$uploaddir = 'uploads/';$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {echo "File is valid, and was successfully uploaded.\n";echo "File path is ".$uploadfile;} else{echo "File uploading failed.\n";}?>

示例代码的功能是服务端用来处理文件上传的，在第二行中if语句对上传文件的type判断是否为image/gif。

在代码中检测的type值，对应http包中的字段Content-Type的值。也就是所我们可以伪装上传文件的type值，来绕过服务端的MIME检测

绕过：

修改content-type 参数欺骗绕过。

防御：

根据攻击原理，有以下几点应该注意：
1：文件上传的目录设置为不可执行
只要web容器无法解析该目录下的文件，即使攻击者上传了脚本文件，服务器本身也不会受到影响，因此此点至关重要。实际中，很多大型网站的上传应用，文件上传后会放到独立的储存上，做静态处理。但对一些小应用，如果存在上传功能，则仍需要多加关注
2：判断文件类型：
判断文件类型时，应结合MIME Type、后缀检查等方式。推荐使用白名单，黑名单的方式已经无数次被证明不可靠。此外，针对图片处理，可以使用压缩函数或者resize函数，在处理图片的同事破坏掉图片中可能包含的HTML代码。
3：使用随机数改写文件名和文件路径
文件上传如果要执行代码，则需要用户能够访问到这个文件。在某些环境中，用户能上传，但不能访问。如果应用使用随机函数改写了文件名和路径，将极大增加攻击成本。与此同时，像1.php.rar.rar、或者1.xml这种文件，都因为文件名被改写而无法成功实施攻击

3. 文件扩展名绕过漏洞

应用场景：服务端验证绕过(扩展名检测)，一般用于绕过黑名单检测。
黑名单检测 黑名单的安全性其实还没白名单的安全性高，至少攻击它的方式比白名单多多了。
一般有个专门的 blacklist 文件，里面会包含常见的危险脚本文件。

1）. 找黑名单扩展名的漏网之鱼

比如上面就漏掉了 asa 和 cer 之类。

2）. 可能存在大小写绕过漏洞

比如 aSp 和 pHp 之类。
用于只将小写的脚本后缀名(如php)过滤掉的场合。

3）双写后缀名绕过

用于只将文件后缀名，例如”php”字符串过滤的场合；
例如:上传时将Burpsuite截获的数据包中文件名【evil.php】改为【evil.pphphp】，那么过滤了第一个”php”字符串”后，开头的’p’和结尾的’hp’就组合又形成了【php】。

4）. 特别文件名构造

比如发送的 http 包里把文件名改成 help.asp. 或 help.asp_(下划线为空 格)，这种命名方式在 windows 系统里是不被允许的，所以需要在 burp 之类里进行修改，然 后绕过验证后，会被 windows 系统自动去掉后面的点和空格。

了解php扩展名解析原则

可以被解析成PHP文件的后缀名有php4，phtml，phps，等。
通过修改后缀，绕过黑名单检测。

5）. IIS 或 nginx 文件名解析漏洞

关于解析漏洞，详见：http://blog.csdn.net/xavierdarkness/article/details/78118767

4.文件内容检测绕过类上传漏洞

在真实图片中插入一句话木马，绕过内容检测。

5. 空字节截断目录路径检测绕过类上传漏洞 （00截断）

即 利用文件系统00截断—绕过

原理

在上传的时候，当文件系统读到 0x00 时，会认为文件已经结束。
利用00截断就是利用程序员在写程序时对文件的上传路径过滤不严格，产生0x00上传截断漏洞。

绕过方法

通过抓包截断将【evil.php.jpg】后面的一个【.】换成【0x00】。在上传的时候，当文件系统读到【0x00】时，会认为文件已经结束，从而将【evil.php.jpg】的内容写入到【evil.php】中，从而达到攻击的目的。

上传漏洞防御：

1.客户端检测，使用JS对上传图片检测，包括文件大小、扩展名、文件类型等
2.服务端检测，对文件大小、路径、扩展名、类型、文件内容检测、对文件重命名
3.其他限制，服务器端上传目录设置不可执行权限。

参考资料：

http://blog.csdn.net/c465869935/article/details/51800354
http://blog.csdn.net/xysoul/article/details/45306209