1. 程式人生 > >上傳漏洞大總結

上傳漏洞大總結

信息安全 上傳漏洞


一,起因:


今天無意間發現github上有個上傳漏洞靶場

上傳漏洞靶場地址:https://github.com/c0ny1/upload-labs

技術分享圖片


二,開始寫下他的wp吧:



首先pass-01:

審查元素發現:是js驗證

<script type="text/javascript">    
function checkFile() {    
var file = document.getElementsByName('upload_file')[0].value;    
if (file == null || file == "") {    
alert("請選擇要上傳的文件!");    
return false;    
}    
//定義允許上傳的文件類型    
var allow_ext = ".jpg|.png|.gif";    
//提取上傳文件的類型    
var ext_name = file.substring(file.lastIndexOf("."));    
//判斷上傳文件類型是否允許上傳    
if (allow_ext.indexOf(ext_name) == -1) {    
var errMsg = "該文件不允許上傳,請上傳" + allow_ext + "類型的文件,當前文件類型為:" + ext_name;    
alert(errMsg);    
return false;    
}    
}    
</script>

js驗證是不安全的驗證。我們想辦法突破他:

審查元素,修改元素,把調用js函數的地方刪除即可(提示:請使用火狐瀏覽器,其他瀏覽器不容易成功)

技術分享圖片


審查元素,找到上傳路徑

技術分享圖片


進入pass-02

查看源代碼發現是判斷文件類型

$is_upload = false;$msg = null;if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
                $img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];
                $is_upload = true;

            }
        } else {
            $msg = '文件類型不正確,請重新上傳!';
        }
    } else {
        $msg = $UPLOAD_ADDR.'文件夾不存在,請手工創建!';
    }}

那就抓包改包來繞過吧,修改文件類型,成功上傳

技術分享圖片


來到pass-03

查看源代碼發現,禁止上傳 asp,aspx,jsp,php類型的文件,且無法通過大小寫驗證繞過


$is_upload = false;$msg = null;if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//刪除文件名末尾的點
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //轉換為小寫
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR. '/' . $_FILES['upload_file']['name'])) {
                 $img_path = $UPLOAD_ADDR .'/'. $_FILES['upload_file']['name'];
                 $is_upload = true;
            }
        } else {
            $msg = '不允許上傳.asp,.aspx,.php,.jsp後綴文件!';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夾不存在,請手工創建!';
    }}

不知道怎麽搞了,還請大神指點一二

上傳漏洞大總結