Web攻防系列教程之文件上传攻防解析（转载）

Web攻防系列教程之文件上传攻防解析：

　　文件上传是WEB应用很常见的一种功能，本身是一项正常的业务需求，不存在什么问题。但如果在上传时没有对文件进行正确处理，则很可能会发生安全问题。本文将对文件上传的检测方式以及如何绕过相应检测方式进行详细的分析，并提供针了对文件上传攻击的安全防护方法。

文件上传攻击是指攻击者利用WEB应用对上传文件过滤不严，导致可以上传应用程序定义类型范围之外的文件到Web服务器。比如可以上传一个网页木马，如果存放上传文件的目录刚好有执行脚本的权限，那么攻击者就可以直接得到一个WebShell。

文件上传攻击的原理

由于服务器端没有对用户上传的文件进行正确的处理，导致攻击者可以向某个可通过 Web 访问的目录上传恶意文件，并且该文件可以被Web服务器解析执行。

攻击者要想成功实施文件上传攻击，必须要满足以下三个条件：

1.可以上传任意脚本文件，且上传的文件能够被Web服务器解析执行，具体来说就是存放上传文件的目录要有执行脚本的权限。

2.用户能够通过Web访问这个文件。如果文件上传后，不能通过Web访问，那么也不能成功实施攻击。

3.要知道文件上传到服务器后的存放路径和文件名称，因为许多Web应用都会修改上传文件的文件名称，那么这时就需要结合其他漏洞去获取到这些信息。如果不知道上传文件的存放路径和文件名称，即使你上传了也无法访问。

主流文件上传检测方式概述

主流的文件上传检测方式有以下五种：

1.客户端javascript检测

客户端检测通常在上传页面里含有专门检测文件上传的javascript代码，在文件被上传之前进行检测，最常见的就是检测上传文件的文件类型和大小是否合法。

2.服务端MIME类型检测

这类检测方法通过检查http包的Content-Type字段中的值来判断上传文件是否合法。

3.服务端文件扩展名检测

这类检测方法通过在服务端检测上传文件的扩展名来判断文件是否合法。

4.服务端目录路径检测

这类检测一般通过检测路径是否合法来判断。

5.服务端文件内容检测

这类检测方法相当对上面四种检测方法来说是最为严格的一种。它通过检测文件内容来判断上传文件是否合法。这里，对文件内容的检测主要有两种方法。A.通过检测上传文件的文件头来判断。通常情况下，通过判断前10个字节，基本就能判断出一个文件的真实类型。B.文件加载检测，一般是调用API或函数对文件进行加载测试。常见的是图像渲染测试，再严格点的甚至是进行二次渲染。

如何绕过文件上传检测

上面我们分析了主流的文件上传检测方式，下面我们就来看下如何绕过上面提到的文件上传检测方式，本文只讨论如何绕过前三种检测方式。

1.绕过客户端javascript检测

这种检测方法是最不安全的，也是最容易被攻击者绕过的。Web应用不应只采用这一种手段检测上传文件，但可以作为一种辅助手段。因为采用客户端javascript检测可以增强应用对用户的友好度。由于javascript检测是在客户端实现的，所以我们完全能够控制它。可以在浏览器端禁用js脚本，比如在FireFox上安装FireBug这一插件就可以实现这一功能。另外一种是通过代理工具来实现，下面介绍利用Burp Suite来绕过客户端javascript检测。Burp Suite不仅仅只是一个代理工具，更是一款强大的网络渗透利器。关于Burp Suite的详细资料请自行百度。

这个站点http://www.2cto.com（注：由于该网站为真实站点，为了目标网站的安全，所以用target来代替真实域名）的文件上传功能只采用了客户端javascript检测，所以很容易被绕过。下面我们来具体看下操作方法。

首先，我们看一下正常情况下上传一个.asp文件，应用会有什么反应。

a. 我们访问这个URL（http://www.target.com/AdvHTML_Popups/upload.asp），会出现一个上传文件的页面

b. 我们先选择一个.asp文件，这时会提示不允许上传这种类型的文件。注意，这时我们还没有点击“件，这时会提示按钮，就出现提示信息。我们可以判断出这个网站是在客户端判断上传文件类型的合法性的。如图1：

图1

上面的情况证明在正常情况下是不能成功上传.asp文件的，那么下面就来看下如何绕过这种检测吧。

c. 我们先打开Burp Suite代理工具，然后配置浏览器使用代理。如图2：

图2

d. 我们先把刚才的那个.asp文件扩展名改为.gif，然后点击“然后点击“为那按钮。这时Burp Suite中就会拦截到浏览器提交的HTTP数据包。我们把filename字段的值webshell.gif修改为webshell.asp，再点击“再点击“ell”按钮，会发现文件成功上传到服务器。如图3：

图3

2.绕过服务端MIME类型检测

服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法的。我们来访问http://193.168.20.235/upload.html，这是一个上传页面，当你选择上传文件，点击“上传”按钮后，会跳转到uploadf.php中进行处理。先来看下uploadf.php的代码，如图4：

图4

那么我们如何绕过这种检测方式呢？下面来看具体操作，还是用Burp Suite来完成。

我准备上传webshell.php到服务器，这是个一句话木马。选择好文件，然后点击“上传”，这时Burp Suite拦截到发往服务器的HTTP请求，我们在Burp Suite修改HTTP数据包中的内容，然后点击“据包中的内容，然按钮把数据包再转发给服务器。如图5：

图5

这时会提示文件成功上传，还会显示文件保存路径，说明我们成功绕过了服务端的MIME文件类型检测，如图6。

图6

现在我们用中国菜刀连接一下，可以成功访问到，效果如图7：

图7

3.绕过服务端文件扩展名检测

现在我们来看下如何绕过服务端文件扩展名检测，先来看下这两段代码，如图8：

图8

上面的代码是一个上传表单，在选择上传文件，点击“上传”按钮后会跳转到uploadfiles.asp中进行处理。我们来看下uploadfiles.asp文件中检测上传文件扩展名的代码，如图9：

图9

上面代码的意思是先得到上传文件的扩展名，然后和允许上传的文件类型对比，如果不符合定义，则提示“上传的文件格式不对！”。

下面具体看下如何绕过这种检测方式，我们先直接上传一个.asp的木马，会提示上传文件格式不对，这和我们预期的结果一致，如图10：

图10

现在我们将webshell.asp改为webshell.asp;test.jpg，再次上传，会发现我们的webshell被成功上传到服务器上，如图11。

图11

现在我们来访问下，地址为http://192.168.1.105/bookpic/webshell.asp;test.jpg，可以正常访问，如图12。

图12

注：这里利用了IIS的解析漏洞，当文件名为1.asp;1.jpg时，IIS会将此文件解析为1.asp，文件名被截断，导致脚本被执行。而且存放上传文件的目录要有执行脚本的权限，否则不能执行成功。

设计安全的文件上传功能

上面我们介绍了主流的文件上传检测以及绕过检测的方式，那么如何设计出一个安全的文件上传功能呢？下面我们就来总结一下。

1.设置保存上传文件的目录为不可执行

只要Web服务器无法解析该目录下的文件，即使攻击者上传了脚本文件，服务器本身也不会受到影响，此点至关重要。

2.判断文件类型

在判断文件类型时，可以结合使用MIME Type、后缀检查等方式。在文件类型检查中，强烈建议采用白名单的方式。此外，对于图片的处理可以使用压缩函数或者resize函数，在处理图片的同时破坏图片中可能包含的恶意代码。

3.使用随机数改写文件名和文件路径

文件上传如果要执行代码，则需要用户能够访问到这个文件。在某些环境中，用户能上传，但不能访问。如果采用随机数改写了文件名和路径，将极大地增加攻击成本。与此同时，像webshell.asp;1.jpg这种文件，将因为文件名被改写而无法成功实施攻击