一、介紹
原因是服務器配置不當或者沒有進行足夠的過濾,用戶可以上傳任意檔案,包括惡意腳本檔案、exe程式等,這就造成了檔案的上傳漏洞,
其中一種引起檔案上傳漏洞的原因是:變數覆寫(需要代碼審計),
危害:如果web服務器所保存上傳檔案的可寫目錄具有執行權限,那么就可以直接上傳后門檔案,導致網站淪陷,如果攻擊者通過其它漏洞進行提權操作,拿到系統管理權限,那么直接導致服務器淪陷,同服務器下的其他網站無一幸免,均被攻擊控制,
通過上傳漏洞獲得的網站后門,就是webshell,
漏洞利用條件:1.web服務器要開啟檔案上傳功能,并且上傳api(介面)對外開放(web用戶可訪問);
2.Web用戶對目標目錄具有可寫權限,甚至具有執行權限,一般情況下,web目錄都有執行權限,
3.上傳檔案可執行,web可以決議上傳的腳本,
4.無視以上條件的情況就是服務器配置不當,開啟了put方法,
二、webshell
shell俗稱“殼”,指為“使用者提供操作界面”的軟體(命令解釋器),類似于windows的cmd.exe或者Linux下bash等,
Webshell是一個網站的后門,也是命令解釋器,以web方式(Http協議)傳遞命令資訊,本質上是在服務器端可運行的腳本檔案,后綴名為.php/.asp/.aspx/.jsp等,也就是說webshell接收來自web用戶的命令,然后在服務器端執行,
大馬:Webshell可以是大馬,也是網站木馬,代碼量比較大,
小馬:一句話木馬,代碼量比較小,
利用中國菜刀與一句話木馬配合實作三大功能:
1.檔案管理
在中國菜刀頁面繼承了Web用戶權限可以實作檔案管理,包括檔案查看、上傳、下載、修改、洗掉、甚至運行exe程式等,
2.虛擬終端
在菜刀命令下可以獲得類似cmd和bash的命令列介面,可以執行相關命令,
3.資料庫管理
需要知道連接資料庫的賬密,
getshell:就是獲取Web的程序和結果,檔案上傳是Getshell的主要方式之一,
三、中間件決議漏洞
1. Apache的決議原理是根據檔案的擴展名從后往前找,遇見不認識的就往前,如檔案
info.php.xxx.xx.x 最后決議為info.php
2. IIS6.0決議漏洞
方法一:time.asp;2.jpg 檔案是圖片檔案,但是在瀏覽器中打開可決議其中的代碼,表示當做.asp檔案決議,
方法二:先建立一個檔案夾1.asp,在檔案夾中建立圖片檔案time.jpg,在瀏覽器中依然可以順利決議time.jpg中的代碼,也是當成.asp檔案決議,
3. PHP CGI決議漏洞
需要IIS7.0/7.5 + php環境,即使用IIS中間件支持php腳本,此步驟不具體解釋,
配置好環境好,漏洞復現:在URL打開一個info.png圖片檔案,該檔案無法執行其中的php代碼,
但是在路徑后面加,php即可執行,此時路徑為 localhost:8000/info.png/.php
防御方法很簡單,只需修改一個配置,
nginx中也存在上述問題:以上內容本質上與中間件無關,而是與php的一個配置選項有關:在php.ini中cgi.fix_pathinfo默認為1,如果將改為0即可,
4.Nginx空位元組漏洞
類似于00截斷,在檔案路徑后面加%00.php
例:localhost/info.html無法決議,但是localhost/info.html%00.php可以把.html檔案當做.php決議
5.Nginx檔案名邏輯漏洞
本質上也是00截斷,用BP抓包,在十六進制里邊改00,
四、防御與繞過
1.黑白名單策略,
2.前端限制與繞過,如,在前段用JS腳本做檢測,檢測檔案后綴名等,
3.apache開啟put方法上傳檔案,(具體方法略過)
4.用BP抓包改包(前端繞過),例如:前端瀏覽器只允許上傳.jpg檔案,但目前的webshell是.php,如何繞過?
先將檔案改擴展名,由.php改為.jpg,上傳并抓包,此時已經繞過瀏覽器的前端了,離開了瀏覽器端,在BP包中再將.jpg改為.php,然后放包,此時.php檔案成功到達服務器上,并繞過前端過濾,
5.服務器端繞過:
(1)服務器端檢查content-type型別:只需要BP抓包,直接修改此型別里的內容即可,
(2)服務器端檢測檔案內容:函式getimagesize(),檢測檔案大小,很容易被圖片木馬繞過,如上傳一個圖片木馬.gif,圖片木馬上傳成功表示該上傳漏洞存在,但要讓服務器端執行該木馬,需要結合其它漏洞,如檔案包含漏洞、檔案決議漏洞、資料庫備份漏洞,服務器端最有效的防御圖片木馬的方法為二次渲染,
圖片包含小馬的方法:
(3)檔案幻術方法制作圖片木馬(略過),
(4)服務器檢測檔案后綴名,
黑白名單方式,
五、00截斷+htaccess
(1)00就是Null(空)字符,URL中為%00,會導致檔案上傳路徑截斷,
舉例:
原理:php的函式move_uploaded_file函式記錄上傳檔案的原目錄與上傳目錄,改變上傳目錄的路徑,在save_path的原路徑后面加(test.php),就把檔案夾變為了具體的檔案(相當于木馬檔案),但是這樣后面接上傳的檔案會報錯,所以在(test.php)后面加%00截斷該路徑,檔案依然能上傳成功,并且能顯示info.php,
(2).htaccess 是Apache服務器的分布式組態檔,該組態檔會覆寫Apache服務器的全域配置,作用于是當前目錄及其子目錄,如果一個Web應用允許上傳.htaccess 檔案,那就意味著攻擊者可以更改Apache的配置,相當危險,(全域組態檔為httpd.conf)
舉例:
1)將.png檔案當做php檔案決議
在.htaccess檔案中寫入: AddType application/x-httpd-php .png
當訪問info.png檔案時,info.png檔案里的php代碼將被執行,
情景:如果一個網站不允許上傳.php檔案,但是允許修改.htaccess檔案,
2)檔案名包含php關鍵字
在.htaccess檔案中寫入: AddHandler php5-script php
當訪問info.php.png檔案時,info.php.png檔案里的php代碼將被執行,
3)匹配檔案名
(將檔案名當做php檔案決議)
例檔案名為ajest,在.htaccess檔案中寫入:
<FilesMatch "ajest">
SetHandler application/x-httpd-php
</FilesMatch>
當訪問ajest檔案時,ajest檔案里的php代碼將被執行,
六、常見編輯器上傳
編輯器就是網站后臺編輯網頁的在線編輯器,會自動集成檔案上傳功能,這些編輯器的某些版本也存在檔案上傳漏洞,
ewebeditor
fckeditor
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/301435.html
標籤:其他