小迪安全33WEB 攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全

#知识点：

1、中间件安全问题

2、中间件文件上传解析

3、Web 应用编辑器上传

编辑器也就是第三方插件，一般都是文件上传漏洞

#详细点：

1、检测层面：前端，后端等

2、检测内容：文件头，完整性，二次渲染等

3、检测后缀：黑名单，白名单，MIME 检测等

4、绕过技巧：多后缀解析，截断，中间件特性，条件竞争等

#本章课程内容：

1、文件上传-CTF 赛题知识点

2、文件上传-中间件解析&编辑器安全 

3、文件上传-实例 CMS 文件上传安全分析

#前置：

后门代码需要用特定格式后缀解析，不能以图片后缀解析脚本后门代码(解析漏洞除外)

如：jpg 图片里面有 php 后门代码，不能被触发，所以连接不上后门

如果要图片后缀解析脚本代码，一般会利用包含漏洞或解析漏洞，还

有.user.ini&.htaccess

中间件容器：出现漏洞，大部分是以.net、php等语言构建的应用

演示案例：

Ø 中间件文件解析-IIS&Apache&Nginx

Ø Web 应用编辑器-Ueditor 文件上传安全

Ø 实例 CMS&平台-中间件解析&编辑器引用

参考：vulhub.org

#中间件文件解析-IIS&Apache&Nginx

-IIS 6 7 文件名 目录名 ——一般是windows server 2003

条件：

1.上传文件能不能修改上传目录或上传的文件名能增加命名

2.IIS 6.0

1. 文件名：x.asp;.x.jpg

上传时，进行更改图片的文件名

此时的图片是可以正常运行的，是一个正常的图片形式

但对其进行访问，发现此图片被解析为了.Asp

因此我们可以利用文件上传，上传此文件类型，访问图片，生成后门

1. 目录名：x.asp/x.jpg

当图片在文件夹里时，是一个正常的图片情况

给文件夹修改名字：添加.asp

此时发现，原本的图片被解析为.asp格式，因此也可以从此进行利用

3、IIS 7.X 与 Nginx 解析漏洞一致

上传带有后门的图片，再后面输入/*.php(*指任意)，即可被执行

-Apache 换行解析 配置不当

条件：

1. 是Apache中间容器
2. 黑名单验证（php%0a绕过黑名单）
3. 白名单可能可以（若没有过滤干净，则可以1.jpg.php%0a绕过）

1、换行解析-CVE-2017-15715

其 2.4.0~2.4.29 版本中存在一个解析漏洞

上传文件，在后面Hex里修改相关参数，进行绕过过滤

2.配置不当-.htaccess 配置不当

条件：

1. apache中间件容器
2. 文件命名需要基于本地上传为准

那么当我们写入1.php.jpg时，表面上的图片，但由于管理员的配置，所以会将此文件解析为php

AddHandler application/x-httpd-php .php

-Nginx 文件名逻辑 解析漏洞

1、文件名逻辑-CVE-2013-4547

影响版本：Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7

上传文件时，要加一个空格即：“1.jpg ”

再访问图片，添加后缀  .php

然后在Hex找到对应位置修改其参数

成功

2、解析漏洞-nginx.conf 配置不当

由此可知，该漏洞与 Nginx、php 版本无关，属于用户配置不当造成的解析漏洞。

#Web 应用编辑器-Ueditor 文件上传安全

action="http://192.168.46.139/net/controller.ashx?action=catchima ge" enctype="multipart/form-data" method="POST">

shell addr:

随便选择一个图片，并加入参数

#实例 CMS&平台-中间件解析&编辑器引用

1、中间件配置不当导致文件被恶意解析

2、CMS 源码引用外部编辑器实现文件上传