0x01 文件上传漏洞

文件上传漏洞顾名思义就是用户上传一个可执行的脚本文件，获得了执行服务器端命令的能力。通常，文件上传是getshell最常用、最直接的方式了。但是，文件上传本身是一个正常的业务需求，因此问题在于如何安全的上传。

0x02 文件上传的触发条件

1. 上传的文件被Web容器解释执行

2. 用户能够从web页面访问到被上传的文件（直接或间接）

3. 用户上传的文件通常不能被网站程序压缩、修改内容

0x03 从防御的角度看上传

通常防御文件上传漏洞是分几个点的，大体上就以下几方面

1. 客户端javascript校验

在浏览加载文件，但还未点击上传按钮时变弹出对话框，内容可能是“只允许上传xxx后缀名的文件”之类的，而此时并没有发送数据包。

绕过方法：

1. 关闭浏览器的javascript功能
2. 用burp抓包改后缀名

2. 检测MIME 类型

· 客户端判断：
$_FILES['myfile']['type'] == 'image/jpeg'

· 服务端判断：

$fileinfo = finfo_open(FILEINFO_MIME);
$mimetype = finfo_file($fileinfo, $file_true_name);

绕过方法：

1. 用burp抓包，修改Content-Type

3. 检查内容

服务器端会读取上传的文件然后判断文件内容时候有<?php之类的

绕过方法：

<script language="php">eval($_POST['cmd']);</script>

2. 如果检查文件头的话就就可以找张真正的图片然后用winhex在图片的末尾写php代码

4. 检查文件扩展名

一般检查文件扩展名为最直接有效的方法，通常是基于白名单或者黑名单来实现的。

黑名单绕过

1. 可以使用能够被解析的其他文件扩展名

jsp jspx jspf
asp asa cer aspx
php phtml php3 php4 php5 PHP phtm
exe exee

2. 特殊文件名绕过
   比如在上传的时候改成test.asp.或者test.asp_(下划线为空格，这里方便大家看用下划线表示了)，这种命名方式在windows下是不允许的，绕过验证后windows系统自动去掉后面的点和空格，但要注意Unix/Linux是没有这个特性的。

3. 00截断
   有的时候可能会遇到服务器端把后缀名已经定好了，而恰好别的地方有一个可以任意读取php文件的服务，这个时候可以把图片马上传后在这里查看，查看的时候用%00把后面的.php给截断就好了

4. .htaccess文件攻击
   配合名单列表绕过，上传一个自定义.htaccess文件，即可轻松绕过各种检测。

5. 解析漏洞绕过
   这类漏洞直接配合上传一个代码注入过的非黑名单文件即可，再利用解析漏洞即可

白名单绕过

1. %00截断
   跟之前说的很像，就是上传一个比如shell.php%00.jpg，服务器检测后缀名是.jpg，但实际上已经被截断了。

2. 解析漏洞利用
   这类漏洞直接配合上传一个代码注入过的白名单文件即可，再利用解析漏洞

3. .htaccess文件攻击
   配合名单列表绕过，上传一个自定义.htaccess文件，即可轻松绕过

0x04 与文件上传息息相关的解析漏洞

1. IIS5.x-6.x解析漏洞

•使用iis5.x-6.x版本的服务器，大多为windowsserver2003，网站比较古老，开发语句一般为asp；该解析漏洞也只能解析asp文件，而不能解析aspx文件。

•目录解析(IIS6.0)，只要文件夹有asp的话，该目录下所有文件都会当作asp来解析，www.xxx.com/xx.asp/xx.jpg（xx.asp要存在）

•www.xxx.com/xx.asp;.jpg服务器默认不解析;号后面的内容，因此xx.asp;.jpg便被解析成asp文件了。(xx.asp;.jpg为上传文件)

2. IIS的PUT上传

•PUT是在WebDav中定义的一个方法，允许用户上传文件到指定目录。
•在许多WebServer中都默认禁用了此方法，或者对上传做了严格限制。但在IIS中，如果目录支持写权限，同时开启了WebDav，就会支持PUT，再结合MOVE方法，可Getshell。

3. apache解析漏洞

•Apache解析文件的规则是从右到左开始判断解析,如果后缀名为不可识别文件解析,就再往左判断。比如test.php.owf.rar“.owf”和”.rar”这两种后缀是apache不可识别解析,apache就会把test.php.owf.rar解析成php•www.xxxx.xxx.com/test.php.php123

•Apache的httpd.conf的AddHandler php5-script .php这时只要文件名里包含.php即使文件名是test2.php.jpg也会以php来执行。（配置错误）

4. nginx解析漏洞(Nginx<8.03)

•当cgi.fix_pathinfo开启时（为1）

•当访问www.xx.com/phpinfo.jpg/1.php时，会将phpinfo.jpg当做php进行解析

•其中1.php是一个不存在的文件

0x06 参考

1. 某大佬的PPT

2. 文件上传框架