文件上传漏洞、WebShell、防御及绕过利用、Web容器解析漏洞、编辑器上传漏洞

admin管理员组

文章数量:1637698

文章目录

• 文件上传漏洞
• • 漏洞概述
  • 漏洞成因
  • 漏洞危害
  • WebShell
  • • 大马
    • 小马
    • GetShell
  • 漏洞利用的条件
  • • PUT方法上传文件
  • 漏洞的防御、绕过和利用
  • • 黑白名单策略
  • 安装upload-labs
  • • 前端限制与绕过
    • 服务器端检测---MIME类型
    • 服务端检测---文件内容
    • • 制作图片木马
    • 服务端检测---后缀名
    • 00截断
    • .htaccess 攻击
    • • 将.png文件当作PHP文件解析
      • 文件名中包含php关键字
      • 匹配文件名
  • Web容器解析漏洞
  • • Apache 解析漏洞
    • IIS6.0 解析漏洞
    • PHP CGI解析漏洞
    • • IIS7.0/7.5+PHP 环境
      • Nginx +PHP 环境（Nginx解析漏洞）
    • Nginx 文件名逻辑漏洞（CVE-2013-4547）
  • 常见编辑器上传漏洞
  • • ewebeditor
    • fckeditor
  • 变量覆盖漏洞：原因是使用了$$定义变量

文件上传漏洞

漏洞概述

文件上传是web 应用的必备功能之一，比如上传头像显示个性化、上传附件共享文件、上传脚本更新网站等。如果服务器配置不当或者没有进行足够的过滤，web 用户就可以上传任意文件，包括恶意脚本文件、exe程序等，这就造成了文件上传漏洞。

漏洞成因

• 一方面服务器配置不当会导致任意文件上传;
• 另一方面，web应用开放了文件上传功能，并且对上传的文件没有进行足够的限制;
• 再者就是，程序开发部署时候，没有考虑到系统特性和验证和过滤不严格而导致限制被绕过，上传任意文件。

漏洞危害

上传漏洞最直接的威胁就是上传任意文件，包括恶意脚本、程序等。
如果Web 服务器所保存上传文件的可写目录具有执行权限，那么就可以直接上传后门文件，导致网站沦陷。如果攻击者通过其他漏洞进行提权操作，拿到系统管理权限，那么直接导致服务器沦陷。同服务器下的其他网站无一幸免，均会被攻击者控制。

通过上传漏洞获得的网站后门，就是webShell。

WebShell

在计算机科学中，Shell俗称壳（用来区别于“核")，是指“为使用者提供操作界面"的软件（命令解释器)。类似于windows系统给的cmd.exe或者linux下的bash 等，虽然这些系统上的命令解释器不止一种。

WebShell 是一个网站的后门，也是一个命令解释器，不过是以web 方式（HTTP协议）通信（传递命令消息），继承了Web用户的权限。

WebShell本质上是在服务器端可运行的脚本文件，后缀名为.php/.asp/.aspx/.jsp等，也就是说WebShell接收来自于web用户的命令，然后在服务器端执行。

大马

有一类WebShell之所以叫大马，是因为要与小马(一句话木马)区分开，并且代码比较大，但是功能比较丰富。
同样，大马有很多种脚本格式，其功能基本相同。每个团队都有自己的定制大马。

小马

小马就是一句话木马，因为其代码量比较小，就是一句简单的代码。以下是各个脚本的一句话。
ASP：<%eval request("cmd")%>
ASP.NET：<%@ Page Language="Jscript"%> <%eval(Request.Item["cmd"],"unsafe");%>
PHP：<?php @eval($_REQUEST["cmd"])?>

一句话木马短小精悍，功能强大，但是需要配合中国菜刀或者中国蚁剑客户端使用，中国菜刀是一句话木马的管理器，也是命令操作接口。中国菜刀在连接一句话木马的时候需要填写密码（实际上就是变量名)。例如，我们上传一个php的一句话木马，密码就是[cmd]。

中国蚁剑与一句话木马配合实现了三大基本功能，如下：

• 文件管理
  
• 虚拟终端
  
• 数据库管理
  首先得连接数据库
  
  然后就可以执行SQL语句 ，管理数据库了
  

GetShell

就是获取WebShell 的过程和结果，当然任意文件上传是GetShell的主要方式，但并不是唯一途径。

漏洞利用的条件

1. Web 服务器要开启文件上传功能，并且上传api(接口）对外"开放”(web 用户可以访问)
2. Web 用户对目标目录具有可写权限，甚至具有执行权限，一般情况下，Web目录都有执行权限。
3. 要想完美利用文件上传漏洞，就是上传的文件可以执行，也就是web容器可以解析我们上传的脚本，无论脚本以什么样的形式存在。
4. 无视以上条件的情况就是服务器配置不当，开启了PUT方法。

PUT方法上传文件

HTTP 请求方法之一，允许向服务器直接写入文件

Apache 开启PUT方法：

• 测试Apache 是否开启了put方法
  使用telnet进行测试：telnet ip port，打开回显ctrl+]，回车输入图片所示内容
  

• Apache 开启put方法操作

  • 打开httpd.conf文件
    开启图中所示模块：
    
    启用模块：
    
    开启文件锁：
    
    按照路径创建DavLock文件
    
    重启Apache服务

• 写入文件并查看
  

漏洞的防御、绕过和利用

文件上传的防御、文件上传的防御绕过还有利用，总是分不开的。为什么这么防？为什么这么攻击（防御绕过)？总是相互纠缠在一起的两个问题，攻防交替。所以，下文也是以这种方式讨论文件上传的问题。

黑白名单策略

黑白名单是最常用的安全策略之一。在计算机安全中，黑白名单类似于一个列表，列表中写了一些条件或规则，如果“客体"在黑名单中，一律“禁止”，如果“客体"在白名单中，一律“允许”。类似于手机号码的黑白名单。
如：Chrome浏览器的黑白名单策略。

策略	说明
URLBlackList	1.禁止用户访问您已阻止的网址。不过，用户可以访问黑名单之外的所有网址。2.不设置此政策：用户将可以自由访问所有网址。
URLWhiteList	1.将此政策与URLBlacklist政策搭配使用，可将特定网址设为黑名单的例外网址并允许用户访问。2.白名单的优先级高于黑名单。您至少要在黑名单中添加一个条目，才能正常使用此政策。3.不设置此政策：网址黑名单将没有例外网址。

安装upload-labs

github项目地址：https://github/c0ny1/upload-labs

• 环境要求：
  操作系统: windows、Linux
  php版本：推荐5.2.17(其它版本可能会导致部分Pass无法突破)
  php组件: php_gd2，php_exif (部分Pass需要开启这两个扩展)
  apache:以moudel方式连接

将下载好的安装包解压到web根目录就可以访问了！（不建议使用）

建议直接下载配套的phpstudy环境（压缩包里自带phpstudy），不容易出现问题，要是直接将漏洞库拖到现在的phpstudy的web根目录下，再更改php版本，下面好几个实验会出现问题（踩坑了）

前端限制与绕过

有些web 应用的文件上传功能，仅在前端用JS脚本做了检测，如检测文件后缀名等。
upload-labs第一关为例：

发现不允许上传：

进行代码审计：

前端JS脚

本文标签： 漏洞编辑器容器文件上传上传