ASP上传判断，如何判断文件头

给你一个检查函数

'******************************************************************

'CheckFileType 函数用来检查文件是否为图片文件

'参数filename是本地文件的路径

'如果是文件jpeg,gif,bmp,png图片中的一种，函数返回true，否则返回false

'******************************************************************

const adTypeBinary=1

dim jpg(1):jpg(0)=CByte(&HFF):jpg(1)=CByte(&HD8)

dim bmp(1):bmp(0)=CByte(&H42):bmp(1)=CByte(&H4D)

dim png(3):png(0)=CByte(&H89):png(1)=CByte(&H50):png(2)=CByte(&H4E):png(3)=CByte(&H47)

dim gif(5):gif(0)=CByte(&H47):gif(1)=CByte(&H49):gif(2)=CByte(&H46):gif(3)=CByte(&H39):gif(4)=CByte(&H38):gif(5)=CByte(&H61)

function CheckFileType(filename)

CheckFileType=false

dim fstream,fileExt,stamp,i

fileExt=mid(filename,InStrRev(filename,".")+1)

set fstream=Server.createobject("ADODB.Stream")

fstream.Open

fstream.Type=adTypeBinary

fstream.LoadFromFile filename

fstream.position=0

select case fileExt

case "jpg","jpeg"

stamp=fstream.read(2)

for i=0 to 1

if ascB(MidB(stamp,i+1,1))=jpg(i) then CheckFileType=true else CheckFileType=false

next

case "gif"

stamp=fstream.read(6)

for i=0 to 5

if ascB(MidB(stamp,i+1,1))=gif(i) then CheckFileType=true else CheckFileType=false

next

case "png"

stamp=fstream.read(4)

for i=0 to 3

if ascB(MidB(stamp,i+1,1))=png(i) then CheckFileType=true else CheckFileType=false

next

case "bmp"

stamp=fstream.read(2)

for i=0 to 1

if ascB(MidB(stamp,i+1,1))=bmp(i) then CheckFileType=true else CheckFileType=false

next

end select

fstream.Close

set fseteam=nothing

if err.number<>0 then CheckFileType=false

end function

文件上传漏洞作为获取服务器权限最快的方式，虽然相关资料很多，但很多人对上传校验方式、如何针对性绕过检测、哪种上传和解析的场景会产生危害等还是比较模糊。本文作一些阐述，然后补充一些除了上传webshell的其他非常规挖掘姿势，包括XSS、重定向、Dos、CSRF等等。

1、基础知识：

要深入了解文件上传，必须了解上传属性、常见文件的结构、图形处理函数等内容。

1） 报文特点：

观察文件上传报文的特点：

Header中Content-Type特征有二：

1.multipart/form-data（form表单的enctype属性，规定为二进制数据）

2.boundary字符串（作用为分隔符，以区分POST数据）

POST内容特征有五：

1.Content-Disposition：form-data

2. name：input表单名

3.filename：文件名

4.Content-Type：定义文件的类型和网页的编码，决定浏览器将以什么形式、什么编码读取这个文件；

5.boundary：Content-Type的值前面加了两个---

2） 常见校验规则

现存常用的上传校验规则无非下面几类：

1.客户端javascript校验（后缀名）

2.文件头content-type字段校验（image/gif）：附带参数

4.后缀名黑/白名单校验：扩展名

5.文件内容头校验：GIF89a

6.文件内容校验：文件信息，二次渲染

7.自定义正则校验

3）一个澄清

文件上传和文件解析是两个过程，即使我们上传的是php文件，但解析为图片，访问php文件会显示“图片无法显示”；或者我们上传的是jpg文件，但里面混有shell脚本，若被解析为php文件也会执行；又或者上传处没法绕过检测，只能上传jpg文件，但在其他功能处存在文件包含等功能，仍可执行成功。

还是回到安全的本质，上传是“输入”，那文件解析就是“输出”，任何漏洞挖掘都需要结合输入+输出。

2、绕过技巧：

这里汇总一些实战中较常用的绕过技巧：

1）后缀名黑名单

以下替换后缀也可以解析为shell：

php：.phtml,.phpt,.php3,.php3p

asp：.aspx，asmx，ashx，web.config

perl:.pl,.pm,.cgi,.lib

jsp:.jspx,.jsw,.jsv,.jspf

Coldfusion:.cfm,.cfml,.cfc,.dbm

另外可以配合 *** 作系统的文件命名规则：

.php.,.php空格，.php:1.jpg,.php::$DATA等

这些后缀的文件会被windows系统自动去掉不符合规则符号后面的内容，从而只留下.php。

2）后缀名白名单

除了结合各种服务器解析特性，较常用的是Null Byte Injection空字节注入，插入空字节值的原因是某些应用程序服务器脚本语言使用c/c++库来检查文件名和内容。在C/C ++中，一行以/00结尾或称为NullByte。因此，只要解释器在字符串的末尾看到一个空字节，就会停止读取，认为它已经到达字符串的末尾。

如，我们将要上传的Happy.jpg的名称更改为Happy.phpA.jpg，然后上传文件，在Burp中捕获请求，切换到Hex视图。在字符串视图中找到文件名。查看相应的Hex表，并将41（'A'）替换为00（为空字节）。结果字符串变为Happy.php（空）.jpeg。由于php解释器在内部使用C语言库，它将停止读取Happy.php后的文件名，文件将保存为Happy.php。

另一种绕过白名单的方法是使用双后缀：shell.php.jpg。

---