文件上传的各种类型
环境搭建
使用phpstudy在windows下搭建
https://github.com/Tj1ngwe1/upload-labs
将下载的upload-labs文件夹放入phpstudy网站www目录内
在浏览器中输入http://localhost:8081/upload-labs/
Pass-01关:客户端的JS检查
先上传一个php文件,提示该类型文件不符合要求:
开burpsuite的拦截:
并未拦截到东西,说明判断上传的地方是在前端js文件,只要绕过前端就可以上传成功php文件了。
有两种方法:禁用js文件,或者是先将php文件修改成jpg,再抓包修改回去。
第二种方法不一定会成功,要看程序是如何判断文件类型的,如果只根据文件后缀名判断,那可以直接修改后缀,如果是根据文件内容判断的,那修改文件后缀就不管用了。
通过查看源代码可知,只是判断了文件后缀名。
我们两种都试验一下,先禁用js文件。
Chrome浏览器禁用js文件的方式为:设置-隐私设置和安全-网站设置-JavaScript,关闭允许开关
火狐浏览器禁用js文件的方法:浏览器输入about:config,点击“我了解此风险!”后,搜索框中输入:javascript.enabled,双击当前页面或者右键即可修改。
禁用了js文件后,重新选择php文件并点击上传,没有提示,应该是已经上传成功了,看一下抓到的包:
上传成功了,位置在/upload/下,访问一下
再用第二种方式试验一下。
先把javascript的设置复原一下,设置好抓包工具,开启拦截,将原来的2008.php文件改为2008.jpg文件。
同样上传成功了:
Pass-02关:服务端-内容检查-白名单之MIME检查
服务端MIME类型检测是通过检测http请求包中的Content-Type字段中的值来判断上传文件是否合法。
直接上传php文件:
方法一:这一关,直接拦截请求修改文件后缀也同样能成功。
方法二:
当我们上传php文件时,可以看到请求包中的Content-Type为application/octet-stream
当我们上传jpg文件时,请求包中的Content-Type为image/jpeg
那第二种方法也出来了,直接上传php文件,但是拦截请求包,修改文件类型即可。
Pass-03:服务端-内容检查-黑名单-上传特殊后缀
直接上传php文件:
我们再使用抓包拦截修改后缀名的办法试试:
还是失败了,看来是使用了黑名单方法,那我们就绕过这些方式。
使用其他后缀名:如php1,phtml
注意,这个漏洞需要结合Apache配置不当的漏洞:将后缀为phtml的文件解析为php文件
上传:
访问成功:
Pass-04:服务端-内容检查-黑名单-上传.htaccess
直接上传php文件:
查看源码发现已经禁止了各种后缀:
这个黑名单已经很全了,但是它没有包括.htaccess文件。
.htaccess文件是什么?它的作用是什么?
.htaccess叫分布式配置文件,是Apache服务器的一个配置文件,提供了针对目录改变配置的方法。我们就利用这个文件来使得所有文件都被解析为php文件。
上传SetHandler application/x-httpd-php
意思是使该.htaccess文件所在目录及其子目录中的所有文件被Apache当做php文件。
上传后再将后缀为jpg的php文件上传,访问即可:
Pass-05:后缀大小写绕过
这一关黑名单中已经禁止了.htaccess文件: 但是,前面的后缀都有大小写组合,.htaccess文件没有,所以可以大小混淆绕过
Pass-06:空格绕过
这一关中,已经对黑名单中的文件名大小写做了限制(统统转换为小写):
但是这关代码相对第五关少了一行代码,
file_ext);//首尾去空
这一关没有对后缀名做去空处理:
上传后的文件名后面的空格已经自动去掉了。
Pass-07:点绕过同样,上传后的文件名后面的点已经消失了
Pass-08:::$DATA绕过
与上一关相比,也少了一行代码:
DATA’, ‘’, DATA
在windows中,php的文件名如果是正常文件名+::DATA之后的数据当成文件流处理,不会检测后缀名,且保持::DATA”,而在windows系统实际处理时只处理了“文件名.php”。
实际上传后的文件是1.php:
Pass-09:
直接看源码:
前面几关的限制都有了,还要怎么绕过呢?我们发现,上面的代码只有一次处理,并未递归,如果我们多加一次会怎么样?
本来想用”文件名.php…”的,但是deldot函数递归检测“点”,所以我们用“文件名.php. .”(点+空格+点):
上传后的文件成了1.php
(未完待续……)