网络安全笔记 -- 文件上传2（内容逻辑数组绕过、中间件漏洞绕过、WAF绕过）

1. 内容逻辑数组绕过

1.1 图片马绕过

upload-labs : Pass-14

查看本关源代码，源代码如下：

function getReailFileType($filename){
    $file = fopen($filename, "rb");
    $bin = fread($file, 2); //只读2字节
    fclose($file);
    $strInfo = @unpack("C2chars", $bin);    
    $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);    
    $fileType = '';    
    switch($typeCode){      
        case 255216:            
            $fileType = 'jpg';
            break;
        case 13780:            
            $fileType = 'png';
            break;        
        case 7173:            
            $fileType = 'gif';
            break;
        default:            
            $fileType = 'unknown';
        }    
        return $fileType;
}

$is_upload = false;
$msg = null;
if(isset($_POST['submit'])){
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_type = getReailFileType($temp_file);

    if($file_type == 'unknown'){
        $msg = "文件未知，上传失败！";
    }else{
        $img_path = UPLOAD_PATH."/".rand(10, 99).date("YmdHis").".".$file_type;
        if(move_uploaded_file($temp_file,$img_path)){
            $is_upload = true;
        } else {
            $msg = "上传出错！";
        }
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40

打开一个图片，在末尾插入一句话木马：
在这里插入图片描述

上传图片，并打开本关提供的文件包含漏洞地址：

在这里插入图片描述
执行成功！

1.2 二次渲染绕过

upload-labs : Pass-17

代码如下：

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])){
    // 获得上传文件的基本信息，文件名，类型，大小，临时文件路径
    $filename = $_FILES['upload_file']['name'];
    $filetype = $_FILES['upload_file']['type'];
    $tmpname = $_FILES['upload_file']['tmp_name'];

    $target_path=UPLOAD_PATH.'/'.basename($filename);

    // 获得上传文件的扩展名
    $fileext= substr(strrchr($filename,"."),1);

    //判断文件后缀与类型，合法才进行上传操作
    if(($fileext == "jpg") && ($filetype=="image/jpeg")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromjpeg($target_path);

            if($im == false){
                $msg = "该文件不是jpg格式的图片！";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".jpg";
                //显示二次渲染后的图片（使用用户上传图片生成的新图片）
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagejpeg($im,$img_path);
                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错！";
        }

    }else if(($fileext == "png") && ($filetype=="image/png")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefrompng($target_path);

            if($im == false){
                $msg = "该文件不是png格式的图片！";
                @unlink($target_path);
            }else{
                 //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".png";
                //显示二次渲染后的图片（使用用户上传图片生成的新图片）
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagepng($im,$img_path);

                @unlink($target_path);
                $is_upload = true;               
            }
        } else {
            $msg = "上传出错！";
        }

    }else if(($fileext == "gif") && ($filetype=="image/gif")){
        if(move_uploaded_file($tmpname,$target_path)){
            //使用上传的图片生成新的图片
            $im = imagecreatefromgif($target_path);
            if($im == false){
                $msg = "该文件不是gif格式的图片！";
                @unlink($target_path);
            }else{
                //给新图片指定文件名
                srand(time());
                $newfilename = strval(rand()).".gif";
                //显示二次渲染后的图片（使用用户上传图片生成的新图片）
                $img_path = UPLOAD_PATH.'/'.$newfilename;
                imagegif($im,$img_path);

                @unlink($target_path);
                $is_upload = true;
            }
        } else {
            $msg = "上传出错！";
        }
    }else{
        $msg = "只允许上传后缀为.jpg|.png|.gif的图片文件！";
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84

1.3 条件竞争绕过

upload-labs : Pass-18

代码如下：

$is_upload = false;
$msg = null;

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){
        if(in_array($file_ext,$ext_arr)){
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件！";
            unlink($upload_file);
        }
    }else{
        $msg = '上传出错！';
    }
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

通过代码可知，本关先将文件上传到服务器，再判断文件后缀是否在白名单里面。如果在，则重命名，否则删除。

因此，如果我们可以上传php文件，由于文件在访问过程中是无法删除的，我们可以在其删除之前访问文件，可以利用BurpSuite设置多次上传，不断访问。

在这里插入图片描述

1.4 目录命名绕过

upload-labs : Pass-20

代码如下：

$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {
    if (file_exists(UPLOAD_PATH)) {
        $deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");

        $file_name = $_POST['save_name'];
        $file_ext = pathinfo($file_name,PATHINFO_EXTENSION);

        if(!in_array($file_ext,$deny_ext)) {
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) { 
                $is_upload = true;
            }else{
                $msg = '上传出错！';
            }
        }else{
            $msg = '禁止保存为该类型文件！';
        }

    } else {
        $msg = UPLOAD_PATH . '文件夹不存在,请手工创建！';
    }
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

move_uploaded_file()会忽略掉文件末尾的 /.
upload/upload-19.php/.会被伪装成文件夹的形式
把文件伪装成文件夹的形式，
在这里插入图片描述

在这里插入图片描述

1.5 数组接受+目录命名

upload-labs : Pass-21

源码如下：

$is_upload = false;
$msg = null;
if(!empty($_FILES['upload_file'])){
    //检查MIME
    $allow_type = array('image/jpeg','image/png','image/gif');
    if(!in_array($_FILES['upload_file']['type'],$allow_type)){
        $msg = "禁止上传该类型文件!";
    }else{
        //检查文件名
        $file = empty($_POST['save_name']) ? $_FILES['upload_file']['name'] : $_POST['save_name'];
        if (!is_array($file)) {
            $file = explode('.', strtolower($file));
        }

        $ext = end($file);
        $allow_suffix = array('jpg','png','gif');
        if (!in_array($ext, $allow_suffix)) {
            $msg = "禁止上传该后缀文件!";
        }else{
            $file_name = reset($file) . '.' . $file[count($file) - 1];
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = UPLOAD_PATH . '/' .$file_name;
            if (move_uploaded_file($temp_file, $img_path)) {
                $msg = "文件上传成功！";
                $is_upload = true;
            } else {
                $msg = "文件上传失败！";
            }
        }
    }
}else{
    $msg = "请选择要上传的文件！";
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

通过查看代码得知后台将save_name赋给file，并判断file是否为数组，因此可以构造save_name数组，大小为3，按照上一关的思路，构造 21.php/.png
save_name[0] = 21.php/
save_name[2] = png

看代码

$file_name = reset($file) . '.' . $file[count($file) - 1];
1

reset($file)取的是save_name[0]即21.php/，拼接了一个’.’符号，之后又拼接save_name[2]即png，拼接后就是：21.php/.png

在这里插入图片描述

2. 中间件漏洞绕过

2.1 Tomcat代码执行漏洞

漏洞测试靶场：Vulhub

在这里插入图片描述

启动漏洞环境：

在这里插入图片描述 BrupSuit抓取数据包，更换成以下数据包，并发送：

PUT /1.jsp/ HTTP/1.1
Host: your-ip:8080
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 5

shell
1
2
3
4
5
6
7
8
9
10

在这里插入图片描述浏览器输入地址，访问如下：

2.2 解析漏洞

2.2.1 Nginx上传解析漏洞

漏洞测试靶场：Vulhub

在这里插入图片描述 1. 启动环境
2. 上传一张带有一句话木马的图片
3. 访问如下地址

在这里插入图片描述执行成功！

2.2.2 Apache HTTPD 换行解析漏洞

漏洞测试靶场：Vulhub

启动靶场

在这里插入图片描述

上传一个php文件，并用BurpSuit抓包
进入十六进制编辑页面，并找到文件名evil.php的位置
将0d改为0a

在这里插入图片描述

BrupSuit中然后点击 Forward按钮
浏览器中访问/1evil.php%0a，成功解析

在这里插入图片描述

2.2.3 Nginx 文件名逻辑漏洞

漏洞测试靶场：Vulhub

启动环境
上传php文件，并用BurpSuite抓包
在文件后缀末尾加空格：
上传：

在这里插入图片描述

访问上传的图片，在末尾加上[空格][空格].php：

在这里插入图片描述

查看16进制编码，将最后一个空格改成\0：

在这里插入图片描述

点击访问，浏览器跳转到解析页面：

在这里插入图片描述

3. WAF绕过

上传参数名解析：明确哪些东西能修改？

Content-Disposition：一般可更改
name：表单参数值，不能更改
filename：文件名，可以更改
Content-Type：文件MIME，视情况更改

常见绕过方法

数据溢出 - 防匹配（xxx…）
符号变异 - 防匹配（’ " ;）
数据截断 - 防匹配（%00 ; 换行）
重复数据 - 防匹配（参数多次）

文件上传安全修复方案

后端验证：采用服务端验证模式
后缀检验：基于黑名单、白名单过滤
MIME检测：基于上传自带类型检测
内容检测：文件头，完整性检测
自带函数过滤：参考upload-labs函数
自定义函数过滤：function check_file(){}
WAF防护产品：宝塔、云盾、安全公司产品等

相关阅读:
C语言——全局变量和局部变量重名了会怎么样
 VUE学习笔记-1
Java容器之迭代器和Collections
jacoco—增量代码覆盖率实现
 static应用知识：单例设计模式
 Security at Datalink, network and Transport
SQL库函数
 解析：动态规划 01背包
 Power BI 傻瓜入门 2. Power BI的人员、方式和内容
 字符串相乘
原文地址：https://blog.csdn.net/swy66/article/details/126395361