Upload-labs

摘要: 文件上传的基础漏洞

Upload-labs

绕过过手段

前端验证

禁用JS;抓包改包;修改JS

逻辑漏洞

条件竞争

这种仅能利用于上传文件处理逻辑不恰当导致的漏洞。

例如:pass-18

PHP
$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件!";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错!';
    }
}
Copy

这处逻辑处理就很不合理,先执行 move_uploaded_file 再执行 rename

黑名单绕过

一般是由黑名单过滤不全导致的,配置不当导致的漏洞。

例如错误的配置项导致非 php 后缀名文件被解析,例如 .php%0a phps/3/4/5/7

Windows 特性

利用 Windows 大小写不敏感,点和空格会自动处理的特性,利用这个特性绕过黑名单。

例如 ::$DATA 文件流 ,增加点和空格绕过。

特殊配置文件

例如 .htaccess (Apache)文件 以及 .user.ini 文件(PHP工作在FastCGI模式)

白名单绕过

一般是白名单设置的不严谨导致的。

例如 只检查 MiMe 类型

例如 低版本 PHP 存在的截断漏洞

内容检查突破

对文件内容进行检查,例如检查文件头来确认这个文件是不是该类型文件,需要文件幻术头

图片二次渲染

需要对比被渲染修改后和原图片,来确定没有被修改的部分,来隐藏webshell。

中间件漏洞(依赖漏洞)

例如: Apache 多后缀名解析漏洞,文件名\n(回车符) 解析漏洞。

脚本解析漏洞

例如 %00 截断 (PHP<5.3)