上传漏洞大总结

标签：信息安全   上传漏洞   

一，起因：

            今天无意间发现github上有个上传漏洞靶场

            上传漏洞靶场地址：https://github.com/c0ny1/upload-labs

二，开始写下他的wp吧：

    首先pass-01：

         审查元素发现：是js验证

<script type="text/javascript">    
function checkFile() {    
var file = document.getElementsByName('upload_file')[0].value;    
if (file == null || file == "") {    
alert("请选择要上传的文件!");    
return false;    
}    
//定义允许上传的文件类型    
var allow_ext = ".jpg|.png|.gif";    
//提取上传文件的类型    
var ext_name = file.substring(file.lastIndexOf("."));    
//判断上传文件类型是否允许上传    
if (allow_ext.indexOf(ext_name) == -1) {    
var errMsg = "该文件不允许上传，请上传" + allow_ext + "类型的文件,当前文件类型为：" + ext_name;    
alert(errMsg);    
return false;    
}    
}    
</script>

        js验证是不安全的验证。我们想办法突破他：

          审查元素，修改元素，把调用js函数的地方删除即可（提示：请使用火狐浏览器，其他浏览器不容易成功）

        审查元素，找到上传路径

        进入pass-02

        查看源代码发现是判断文件类型

$is_upload = false;$msg = null;if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        if (($_FILES['upload_file']['type'] == 'image/jpeg') || ($_FILES['upload_file']['type'] == 'image/png') || ($_FILES['upload_file']['type'] == 'image/gif')) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR . '/' . $_FILES['upload_file']['name'])) {
                $img_path = $UPLOAD_ADDR . $_FILES['upload_file']['name'];
                $is_upload = true;

            }
        } else {
            $msg = '文件类型不正确，请重新上传！';
        }
    } else {
        $msg = $UPLOAD_ADDR.'文件夹不存在,请手工创建！';
    }}

    那就抓包改包来绕过吧，修改文件类型，成功上传

    来到pass-03

    查看源代码发现，禁止上传 asp，aspx，jsp，php类型的文件，且无法通过大小写验证绕过

$is_upload = false;$msg = null;if (isset($_POST['submit'])) {
    if (file_exists($UPLOAD_ADDR)) {
        $deny_ext = array('.asp','.aspx','.php','.jsp');
        $file_name = trim($_FILES['upload_file']['name']);
        $file_name = deldot($file_name);//删除文件名末尾的点
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext); //转换为小写
        $file_ext = str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
        $file_ext = trim($file_ext); //收尾去空

        if(!in_array($file_ext, $deny_ext)) {
            if (move_uploaded_file($_FILES['upload_file']['tmp_name'], $UPLOAD_ADDR. '/' . $_FILES['upload_file']['name'])) {
                 $img_path = $UPLOAD_ADDR .'/'. $_FILES['upload_file']['name'];
                 $is_upload = true;
            }
        } else {
            $msg = '不允许上传.asp,.aspx,.php,.jsp后缀文件！';
        }
    } else {
        $msg = $UPLOAD_ADDR . '文件夹不存在,请手工创建！';
    }}

     不知道怎么搞了，还请大神指点一二

上传漏洞大总结

标签：信息安全   上传漏洞   

原文地址：http://blog.51cto.com/tdcqvip/2121027