目录
不安全的文件下载
概述
演示
不安全的文件下载防范措施
不安全的文件上传
概述
演示
client check
文件上传漏洞之服务端验证绕过(MIME)和(getimagesize)
不安全的文件上传防范措施
文件下载功能在很多web系统上都会出现,一般我们当点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。 如果后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话,则可能会引发不安全的文件下载漏洞。
此时如果 攻击者提交的不是一个程序预期的的文件名,而是一个精心构造的路径(比如../../../etc/passwd),则很有可能会直接将该指定的文件下载下来。 从而导致后台敏感信息(密码文件、源代码等)被下载。
所以,在设计文件下载功能时,如果下载的目标文件是由前端传进来的,则一定要对传进来的文件进行安全考虑。 切记:所有与前端交互的数据都是不安全的,不能掉以轻心!
正常情况下,后台应该返回一个正确的文件,响应到前端,但如果后端的代码设计的不够严格,前端的攻击者就可以通过去构造一些传入的参数,让后台返回一些其他的文件。
右击,新建标签页打开链接,当我们下载的时候,实际上是把ns.png这样一个filename传到后台,后台找到这个文件之后,再响应到前端。
比如说后面是一台Linux服务器,那么Linux下面有很多配置文件,我们可以采用目录遍历(../../../../../../etc/passwd)的方式,跳到根目录下面去,然后再以根目录为起点,往下做相关的读取,即完成攻击目的。(它不会去判断传进来的这个文件是不是目录里面存在的)
文件上传功能在web应用系统很常见,比如很多网站注册的时候需要上传头像、上传附件等等。当用户点击上传按钮后,后台会对上传的文件进行判断 比如是否是指定的类型、后缀名、大小等等,然后将其按照设计的格式进行重命名后存储在指定的目录。 如果说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨,则攻击着可能会上传一些恶意的文件,比如一句话木马,从而导致后台服务器被webshell。
所以,在设计文件上传功能时,一定要对传进来的文件进行严格的安全考虑。比如:
--验证文件类型、后缀名、大小;
--验证文件的上传方式;
--对文件进行一定复杂的重命名;
--不要暴露文件上传后的路径;
--等等...
用pikachu平台做相关的演示:
“client check”:首先我们可以上传一个php文件,它会返回:
查看页面源码得知:该判断操作是在前端用JavaScript做的,既然是前端,那么我们就很容易绕过它,比如直接把判断函数删掉
删掉以后,再次上传php文件,页面显示:(即上传成功一句话木马文件)
MIME简介:
比如我们在电脑中的文件,点击不同类型文件,浏览器就会用不同的应用程序来打开它
后端会用$_FILES获取到的文件类型去和MIME作比较,看是否属于MIME三者之一(此处MIME规定只允许上传image.jpg,image.jpeg,image.png这三种类型的文件)。
但是$_FILES获取文件的时候是从HTTP头的content-type去获取的,也就是说,我们只要修改content-type为指定允许的三种文件格式就可以成功上传了。(可以在bp的repeater模块进行相关的操作)即:
Getimagesize:
Getimagesize是PHP提供的一个用来判断目标文件是不是图片的函数。
它怎么来判断?
实际上就是对目标文件的16进制进行读取,去读取它的前几个字符串,看符不符合图片要求,固定的图片的16进制前几位都是不变的。
当我们上传正常的图片时:(可以正常上传)
那么只要我们把恶意代码的16进制前几位修改为和图片一样的,就可以了(也就是制作图片木马)。
当我们上传图片木马后,由于恶意代码嵌在了后面,所以前几位还是图片的16进制,Getimagesize会将其认定为是图片文件,就可以成功上传了。
本文发布于:2024-02-05 06:03:05,感谢您对本站的认可!
本文链接:https://www.4u4v.net/it/170725808263668.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
| 留言与评论(共有 0 条评论) |
