基于Web系統的文件上傳漏洞解析

◆巨騰飛 岳劍暉

基于Web系統的文件上傳漏洞解析

◆巨騰飛 岳劍暉

（陜西省網絡與信息安全測評中心 陜西 710065）

由于Web技術的迅猛發展，Web系統功能愈加豐富多彩，傳統的Web系統僅用于信息發布，而如今的Web系統應用，如購物網站、論壇、微博功能愈加完善，不僅有信息發布，還有網民娛樂、購物、聊天等功能，功能的完善意味著這些網站安全問題的突出，許多網站存在頭像上傳、附件上傳等功能，由此便產生了文件上傳漏洞，安全管理者和安全運維者的責任則更加突出，安全問題亟待解決。

Web系統；網站安全；文件上傳漏洞

1 引言

文件上傳通常是一些論壇、貼吧、購物、聊天類網站所必備的功能，通常Web站點會有用戶注冊功能，用戶注冊完成后，個人設置當中往往都有頭像上傳功能，可以向大眾展示自己、認識自己，而當用戶登錄之后大多數情況下都會存在類似附件上傳一類的功能，這些功能如果安全問題未完全到位，往往存在上傳驗證缺陷，導致文件上傳漏洞，文件上傳漏洞往往在Web滲透測試中是非常關鍵的突破口，只要通過各種分析測試分析來繞過上傳驗證、保護機制，往往會造成被黑客直接上傳Web系統后門，進而獲取整個Web系統的管理權限，甚至導致整個內網安全受到威脅。不少門戶網站都有過被上傳后門，導致被人篡改的經歷，這類攻擊行為大部分是通過文件上傳漏洞進行的。

2 何為文件上傳漏洞

文件上傳漏洞是Web應用系統中一種常見的漏洞類型，是指網絡攻擊者上傳了一個可執行的文件到服務器并執行，這里上傳的文件可以是照片、木馬、病毒和Webshell等。這種攻擊方式是最為直接和有效的，部分文件上傳漏洞的利用技術門檻非常的低，對于攻擊新手者來說都很容易實施。

從滲透測試人員的角度來說，如果要想成功實施文件上傳漏洞攻擊，通常來說一般需要滿足以下三個條件（不包括文件包含上傳）：

（1）上傳文件可執行

首先來說上傳文件成功只是第一步，有時候表面看來腳本文件上傳成功，但也有可能被安全機制強行改名為jpg、mpg、jpeg等存儲，如果腳本文件被利用，其上傳文件所存儲的目錄文件必須具備可執行權限，如果文件無法成功執行，就無法進行進一步的滲透測試。

（2）上傳文件可訪問

其次，上傳文件成功且可被執行是不夠的，文件還必須具備Web訪問權限，如果不能夠通過Web訪問，那么也不能成功實施滲透測試。

（3）上傳文件路徑、文件名可知

最后，要知道腳本文件上傳到服務器后其所存放路徑及文件名稱，因為許多Web應用都會修改上傳文件的文件名稱，那么這時就需要結合其他漏洞去獲取到這些信息。如果不知道上傳文件的存放路徑和文件名稱，即使文件上傳也無法訪問。

3 文件上傳漏洞分類

主要以php（asp）為例，常見文件上傳漏洞主要分為四種：客戶端校驗繞過、文件類型繞過、文件后綴名繞過、文件頭繞過等。

（1）客戶端校驗繞過

一種是直接修改js代碼或者用抓包的方法修改請求內容繞過，可以先上傳一個gif木馬，通過抓包修改為php（asp），只用這種方法來檢測是肯定可以繞過的。

另外一種是瀏覽器禁用js調試，這里以Firefox為例：首先在Firefox地址欄里輸入“about：config”；其次在搜索欄輸入“javascript.enabled”查找到首選項。最后點擊鼠標右鍵選擇“切換”，把“javascript.enabled”鍵值改為“false”這樣就能禁止js的運行了。

（2）文件類型繞過

通過抓包軟件，可以看到不同的文件content-type字段顯示不同的Filetype，只需要將content-type字段改為image/jpegd等。

（3）文件后綴名繞過

一種主要是基于黑名單檢測技術，如果檢測的時候不忽略大小寫，那么可以改變后綴名的大小寫繞過；其次還有被黑名單表中如果忽略了某些后綴；最后包括能被解析的文件擴展名列表。

另一種主要是基于白名單檢測技術，包括%00截斷，如將文件1.php修改為1.php%00.jpg。

（4）文件頭繞過

這種一般采用正常圖片合成惡意腳本，可以直接通copy命令進行木馬合成，這種插入的代碼一般會放在圖像的注釋區，因此不會影響圖像正常渲染繞過這種文件頭檢測。

4 文件上傳漏洞防范

首先，上傳的文件能夠被Web容器解釋執行，所以上傳文件的目錄要是Web容器所覆蓋到的路徑；其次，用戶能夠從Web上訪問這個文件，如果文件上傳了，但用戶無法通過Web訪問，或者無法得到Web容器解釋這個腳本，那么也不能稱之為漏洞；最后，用戶上傳的文件若被安全檢查、格式化、圖片壓縮等功能改變了內容，則也可能導致攻擊不成功。

防范文件上傳漏洞常見的幾種方法如下：

（1）文件上傳的目錄設置為不可執行

只要Web容器無法解析上傳目錄下面的文件，即使攻擊者上傳了腳本文件，服務器本身也不會受到影響，因此這一點也至關重要。

（2）文件白名單校驗

在文件類型檢查中，使用白名單的方式進行檢查，黑名單的方式已經多次被證明是不可靠的。此外，對于圖片的處理，可以使用壓縮函數或者resize函數，在處理圖片的同時破壞圖片中可能包含的HTML代碼。

（3）改寫文件名和文件路徑

上傳文件如果要執行代碼，則需要用戶能夠訪問到這個文件。在某些環境中，用戶能上傳，但不能訪問。改寫了文件名和路徑，將極大地增加攻擊的成本。

（4）及時對Web應用系統進行補丁修復

隨著Web應用系統防御措施安全性的不斷提高，攻擊者也在試圖不斷尋找新的攻擊方法與手段，通過追蹤、了解和分析最新產生的各種攻擊手段，及時對Web應用系統進行修復和防御也是一個不可缺少的防護手段。

5 結束語

本文主要基于Web系統簡要介紹文件上傳漏洞，包括文件上傳漏洞介紹、文件上傳漏洞分類、文件上傳漏洞利用、文件上傳漏洞防護，總結出文件上傳漏洞的危害，幫助安全相關人員提高安全防護意識，提升總體安全防護水平。

[1]劉仁珩.上傳漏洞原理及防范[J].江西通信科技，2014（04）：39-42.

[2]郝子希，王志軍，劉振宇.文件上傳漏洞的攻擊方法與防御措施研究[J].計算機技術與發展，2019，29（02）：129-134.

[3]白興瑞，劉耀炎.高校WEB站點的上傳漏洞分析及防范[J].衡水學院學報，2011，13（04）：34-36.