上傳漏洞大總結
阿新 • • 發佈:2018-05-28
信息安全 上傳漏洞
一,起因:
今天無意間發現github上有個上傳漏洞靶場
上傳漏洞靶場地址:https://github.com/c0ny1/upload-labs
二,開始寫下他的wp吧:
首先pass-01:
審查元素發現:是js驗證
<script type="text/javascript"> function checkFile() { var file = document.getElementsByName('upload_file')[0].value; if (file == null || file == "") { alert("請選擇要上傳的文件!"); return false; } //定義允許上傳的文件類型 var allow_ext = ".jpg|.png|.gif"; //提取上傳文件的類型 var ext_name = file.substring(file.lastIndexOf(".")); //判斷上傳文件類型是否允許上傳 if (allow_ext.indexOf(ext_name) == -1) { var errMsg = "該文件不允許上傳,請上傳" + allow_ext + "類型的文件,當前文件類型為:" + ext_name; alert(errMsg); return false; } } </script>
js驗證是不安全的驗證。我們想辦法突破他:
審查元素,修改元素,把調用js函數的地方刪除即可(提示:請使用火狐瀏覽器,其他瀏覽器不容易成功)
審查元素,找到上傳路徑
進入pass-02
查看源代碼發現是判斷文件類型
$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) { if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) { $img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name']; $is_upload = true; } } else { $msg = '文件類型不正確,請重新上傳!'; } } else { $msg = $UPLOAD_ADDR.'文件夾不存在,請手工創建!'; }}
那就抓包改包來繞過吧,修改文件類型,成功上傳
來到pass-03
查看源代碼發現,禁止上傳 asp,aspx,jsp,php類型的文件,且無法通過大小寫驗證繞過
$is_upload = false;$msg = null;if (isset($_POST['submit'])) { if (file_exists($UPLOAD_ADDR)) { $deny_ext = array('.asp','.aspx','.php','.jsp'); $file_name = trim($_FILES['upload_file']['name']); $file_name = deldot($file_name);//刪除文件名末尾的點 $file_ext = strrchr($file_name, '.'); $file_ext = strtolower($file_ext); //轉換為小寫 $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA $file_ext = trim($file_ext); //收尾去空 if(!in_array($file_ext, $deny_ext)) { if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR. '/' . $_FILES['upload_file']['name'])) { $img_path = $UPLOAD_ADDR .'/'. $_FILES['upload_file']['name']; $is_upload = true; } } else { $msg = '不允許上傳.asp,.aspx,.php,.jsp後綴文件!'; } } else { $msg = $UPLOAD_ADDR . '文件夾不存在,請手工創建!'; }}
不知道怎麽搞了,還請大神指點一二
上傳漏洞大總結