文件上传漏洞？

文件上传漏洞是指：由于程序员未对上传的文件进行严格的验证和过滤，而导致的用户可以越过其本身权限向服务器上传可执行的动态脚本文件。如常见的

头像上传，图片上传，oa办公文件上传，媒体上传，允许用户上传文件的地方如果过滤不严格，恶意用户利用文件上传漏洞，上传有害的可以执行脚本文件到服务器中，可以获取服务器的权限，或进一步危害服务器。

非法用户可以上传的恶意文件控制整个网站，甚至是控制服务器，这个恶意脚本文件，又被称为webshell，上传webshell后门之后可查看服务器信息、目录、执行系统命令等。

文件上传的类型：

1、前端js绕过

在文件上传时，用户选择文件时，或者提交时，有些网站会对前端文件名进行验证，一般检测后缀名，是否为上传的格式。如果上传的格式不对，则d出提示文字。此时数据包并没有提交到服务器，只是在客户端通过js文件进行校验，验证不通过则不会提交到服务器进行处理。

2、修改content-type绕过

有些上传模块，会对http类型头进行检测，如果是图片类型，允许上传文件到服务器，否则返回上传失败，因为服务端是通过content-type判断类型，content-type在客户端可被修改。

3、绕黑名单

上传模块，有时候会写成黑名单限制，在上传文件的时获取后缀名，再把后缀名与程序中黑名单进行检测，如果后缀名在黑名单的列表内，文件将禁止文件上传。

4、htaccess重写解析绕过

上传模块，黑名单过滤了所有的能执行的后缀名，如果允许上传.htaccess。htaccess文件的作用是：可以帮我们实现包括：文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表，以及使用其他文件作为index文件等一些功能。

在htaccess里写入SetHandler

application/x-httpd-php则可以文件重写成php文件。要htaccess的规则生效，则需要在apache开启rewrite重写模块，因为apache是多数都开启这个模块，所以规则一般都生效。

5、大小写绕过

有的上传模块 后缀名采用黑名单判断，但是没有对后缀名的大小写进行严格判断，导致可以更改后缀大小写可以被绕过，如PHP、Php、phP、pHp。

论坛上传漏洞是论坛中一种很常见的漏洞。论坛源码往往由于设计失误而引发漏洞，其中允许远程用户将任意文件上传到论坛主机上的漏洞被称为论坛的上传漏洞。通过论坛上传漏洞，入侵者甚至可以完全控制远程开启论坛服务的主机。绝大部分论坛为了界面的美观与人性化都支持文件上传功能，而上传的文件有类型的限制，设计失误是指对文件类型过滤不严，比如本应只允许JPEG格式的文件上传，结果用户却可以上传ASP文件。下面以利用动网论坛（DV BBS）存在的上传漏洞的实例来说明上传漏洞的具体内容及利用方法。

1．实例

利用动网论坛上传漏洞进行入侵。

动网论坛上传漏洞的描述：动网论坛上传漏洞存在于DV BBS7.0 SP2及其更低的所有版本中，其中DV BBS7.0 SP2以前的版本可以利用工具直接上传ASP文件。

漏洞存在于基本资料修改中头像上传位置，如图4-73所示，单击“上传”按钮将调用upfile.asp文件，而upfile.asp中存在文件类型过滤不严的问题。

图4-73

漏洞利用思路：检测到漏洞后，在存在漏洞论坛中注册一个用户账号，利用这个账号获取Cookie。在本地制作网页木马文件，使用专用工具结合已获取的Cookie值将网页木马上传到远程主机中。

步骤1：搜索漏洞

漏洞的搜索可以使用百度（http://www.baidu.com）、雅虎（http://cn.search.yahoo.com/）等搜索引擎。例如，在百度中搜索“"Powered By:Dvbbs Version 7.0.0 SP1"”，如图4-74所示。

图4-74

本实例中将对一个已发现存在上传漏洞的动网论坛主机进行攻击测试，地址：http://192.168. 232.132，版本为6.1.0，如图4-75所示。

图4-75

步骤2：注册用户

本例中想利用上传漏洞需要进入用户基本资料设置页面，因此首先需要注册一个用户，这里的用户名注册为squirrel，密码为111111，登录时如图4-76所示。

图4-76

登录后，选择用户控制面板中的基本资料修改项，如图4-77所示。

图4-77

进入后，显示如图4-78所示。

图4-78

步骤3：获取Cookie

什么是Cookie

Cookie是由Internet站点创建的、将信息存储在计算机上的文件，例如访问站点时的首选项。Cookie可以存储个人可识别信息，例如姓名、电子邮件地址、家庭或工作地址，或者电话号码。一旦将Cookie保存在计算机上，则只有创建Cookie的网站才能读取。

Cookie包括永久Cookie和临时Cookie。永久Cookie以文件形式存储在计算机上，关闭Internet Explorer时仍然保留在计算机上，再次访问该站点时，创建该Cookie的网站可以读取。临时Cookie或会话Cookie仅为当前浏览的对话存储，关闭Internet Explorer时即从计算机上删除。

工具介绍

使用工具：Winsock Expert。

工具说明：目前常用的版本是Winsock Expert v0.6 beta1。Winsock Expert是用于跟踪程序执行的专用软件，可以使用这个软件来跟踪IE的执行情况，获取相关的Cookie信息。

Cookie的获取

打开Winsock Expert，如图4-79所示。

图4-79 用已注册的用户名登录到论坛，进入基本资料修改页面，如图4-80所示。

图4-80

为了获取Cookie，需要跟踪IE的执行情况，抓取数据包。回到Winsock Expert，单击图标

，在Select Process To Monitor中选择刚刚打开的页面，这里是“动网先锋论坛——基本资料修改”，如图4-81所示。

图4-81 选定好单击“Open”按钮，这时的Winsock Expert运行界面如图4-82所示。

图4-82将Winsock Expert暂时放在一边，不要对其进行其他 *** 作。在论坛的个人基本资料修改页面中单击“浏览”按钮，随便选取一个文件，如图4-83所示。

图4-83

单击“上传”按钮后显示如图4-84所示，直接上传ASP文件会被过滤掉，后边的步骤中将介绍如何利用工具上传ASP网页木马，现在只是为了得到Cookie为后边的步骤做准备。

图4-84 到这里，已经实现了抓取数据包。在Winsock Expert窗口中Packets Text栏下找到“POST 路径”项所在的行，并单击此行，在窗口下部的详细信息中即包含了需要的Cookie信息和上传处理文件的路径信息和文件名信息，如图4-85所示。本例中获得的Cookie信息为ASPSESSIONIDQGQQGUDK=NMPJMAFDNGMAJHOCNLOELOHL，上传处理文件的路径为论坛根目录，文件名为upfile.asp。

图4-85

步骤4：生成网页木马

工具介绍

使用工具：海阳顶端网ASP木马2006版。

工具说明：海阳顶端网ASP木马2006版中包含有6个文件，文件的使用说明如下。

2006.asp，海阳顶端网ASP木马2006版文件。

pack.vbs，打包文件“HYTop.mdb”的解开器。

2006X.exe，海阳顶端网ASP木马2006 C/S模式转换器。

2006X2.exe，海阳顶端网ASP木马2006专用短服务器端C/S模式转换器。

2006Z.exe，海阳顶端网ASP木马2006_Lite版本组合器，用来自定义生成相应功能的Lite版木马。

hididi.ini，2006Z.exe的配置文件。

这里使用2006Z.exe生成的网页木马文件。使用2006Z.exe的好处在于生成网页木马的功能可选，且上传后易于 *** 作。

2006Z.exe使用说明：打开程序后，可以在“页面选择”框架里选择所需要生成的Lite版海阳顶端网ASP木马功能模块，“页面生成”框架里的源文件指的是Full版的海阳顶端网ASP木马2006（本文件夹中的2006a.asp），选择好相应的源文件及生成文件后，单击“生成”按钮即可生成相应功能组合的海阳顶

---