phposs文件上传技巧_收集安然之对文件上传的思虑

按前端到后端绕过顺序分为：前端js考验、代码防护检测（比如waf）、做事端检测

一、文件上传安全配置

二、绕过做事真个代码检测

做事真个代码常检测request包中的三个点：

1）MIME类型

2）文件后缀

3）文件内容

理论上要求包的任何参数都可以作为检测点，但是对付文件上传功能来说，用户提交的要求包中这三个

地方，是辨别是否为恶意文件的主要的三个点，做事端检测基本都是检测这三个地方

1）MIME类型检测

代码中只校验了http头中的MIME类型。

request包中content-type字段改为image/jpeg）

这个逻辑适用于很多情形，这也是安全的根本：不信赖任何客户端提交的数据。

2）文件后缀检测

文件名后缀检测分两种情形：白名单和黑名单。

绕过白名单或黑名单有诸多姿势：“做事器解析漏洞” 、 “文件命名规则”、“%00截断”、“长度

截断”、“条件竞争”、“双文件上传”、“可解析后缀”、“.htacees和user.ini”、“误用函数”

等等。

1、做事器解析漏洞

1.1、apache解析漏洞

对付Apache做事器来说，哪些后缀可以被解析是由什么决定呢？

apache中有一个关于php的默认配置文件，个顶用正则指定了哪些后缀利用哪些解析器。

apache解析一个特点，解析文件时是从右往左判断，碰着不认识的后缀时，就跳过，于是就有了类似于

“.php.123”这种绕过办法。
大多情形下，我们碰着apache解析漏洞的是配置缺点导致的

1.2、nginx和iis7.5/7.0解析漏洞

此解析漏洞实在是php的配置缺点导致。

php为了支持path info模式创造了fix_pathinfo这个选项，当它被打开时，fpm就会判断要求的文件是

否存在，如果不存在就去掉末了一个\开始的内容，再次查看文件是否存在，不存在再去掉从\开的内容

，循环往来来往。
以是当要求http://192.168.1.100/admin/upload/shell.jpg/.php这么个文件时，fpm会

把/.php去掉把shell.jpg当作php实行。

后来涌现了seccurity.limit_extensions选项，这个选项默认配置.php文件才能被fpm实行。

利用条件：

1、fast-cgi模式运行

2、Fix_pathinfo为1 （默认为1）

3、seccurity.limit_extensions选项许可（默认只解析.php）

1.3、iis5.x- iis6.x解析漏洞

利用iis5--iis6的基本都是Windows server 2003这种老做事器了。

这种老做事器默认一样平常只解析asp。

这个解析漏洞很大略，就两条：

1、以.asp命名的文件夹下所有文件都以asp文件实行

2、.asp;.jpg这种形式的命名办法会自动会忽略掉;后的内容。

2、文件命名规则

2.1、windows命名规则

1、文件名长度最大为255个英笔墨符。
（或者是127个中笔墨符+1个英笔墨符）

2、全路径最大长度最大为260个字符。

3、访问文件不区分大小写（部分运用程序利用时除外），显示文件时有大小写。

4、开头不能利用空格，其他地方可以。

5、文件名不能包含：< > | / \ ? :

2.2、linux命名规则

1、文件名最大长度为255

2、全路径长度最大为4096（16级最大文件长度）

3、区分大小写

4、除“/”之外所有字符都可以利用

5、linux不以文件扩展名区分文件类型，对linux来说统统皆文件。

linux下通过命名规则绕过的话，可以考试测验 \ 或者 && ; 等命令分割符号绕过

3、00截断

00截断常见的有%00、0x00等，他们都是表示ascii字符表中的保留字符chr(0)。

不管表示编码办法有啥差异，只要能让做事器精确解析为chr(0)就行。

00截断的事理：chr(0)表示结束。

限定条件：

小于php5.3.4 小于jdk1.7.0_40

未过滤chr(0)，例如magicquoesgpc为off

4、长度截断

当文件名的长度超过系统许可的最大长度时，会将超出部分进行截断。

（部分系统不会进行截断，无法创建）

测试中可以利用二分法，不断考试测验最大长度，然后进行截断。

5、条件竞争上传

当代码中的逻辑是先保存上传的文件，然后再判断上传文件是否合法时，便存在韶光竞争条件漏洞。

首先写个天生马儿的马儿。

上传马儿，同时利用burpsuit不断要求马儿，或者写个脚本跑，

6、双文件上传

当代码中只对一处文件名做校验时，便存在双上传的漏洞。

利用burpsuit抓包改包或者F12修正前端代码都可以。

7、可解析后缀

不常见的可解析后缀：

1、ph(p[1-7]?|t(ml)?) ,shtml,pwml

2、asa ,asax, cer, cdx ,aspx,ascx,ashx,asmx,asp,

3、jspx,jspf,jspa,jsw,jsv,jtml

8、.htacces和user.ini

利用办法差不多，都是先上传配置文件，然后上传图片马之类的。

唯一不同是，user.ini是把图片内容附加在php脚本前面或者后面，类似于require()函数;

.htaccess是把图片内容用php来解析。

9、误用函数

empty()、isset()、strpos()、rename()、iconv()、copy()

3）文件内容检测

1、图片马

一样平常情形下检测文件干系信息、文件渲染都可以通过制作的图片马进行绕过。

文件渲染顾名思义，便是对上传的文件进行加载渲染，例如加载图片检测是否能正常利用。

绕过办法：burpsuit改包 或者 copy 1.jpg /b + 2.php /a 3.jpg 天生图片马

2、二次渲染

二次渲染就不好过了，由于它会把图片中多余的语句去除，包括你的代码。

关于怎么制作过二次渲染的图片马，建议直接用别人做好的图片马