##介绍
在Web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,例如企业的OA系统,允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,Web应用受到攻击的风险就越大,如果Web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获得网站的权限,或者进一步危害服务器。
##存在文件上传漏洞的原因
如果服务端未对用户所上传的文件进行严格的验证和过滤,就很容易造成可以上传任意文件的情况,包括上传脚本文件(asp、aspx、php、jsp等格式的文件)。
##危害
非法用户可以利用上传的脚本文件控制整个网站,甚至控制服务器。这个恶意的脚本文件,又被称为WebShell,也可将WebShell脚本称为一种网页后门,WebShell脚本具有非常强大的功能(前提是脚本免杀或者服务端没做防御),比如查看服务器目录、服务器中的文件,执行系统命令等。
##靶机搭建
upload.html
<!DOCTYPE html> <meta charset="utf-8"> <html> <head> <title>JS检查文件后缀</title> </head> <body> <script type="text/javascript"> function selectFile(fnUpload){ var filename = fnUpload.value; var mine = filename.toLowerCase().substr(filename.lastIndexOf(".")); if (mine!=".jpg") { alert("请选择jpg格式的照片上传"); fnUpload.outerHTML=fnUpload.outerHTML; } } </script> <form action="upload2.php" method="post" enctype="multipart/form-data"> <label for="file">Filename:</label> <input type="file" name="file" id="file" onchange="selectFile(this)" /> <br /> <input type="submit" name="submit" value="submit" /> </form> </body> </html>
upload2.php
<?php if ($_FILES["file"]["error"] > 0) { echo "Return Code: " .$_FILES["file"]["error"] . "<br />"; } else { echo "Upload: " .$_FILES["file"]["name"] . "<br />"; echo "Type: " .$_FILES["file"]["type"] . "<br />"; echo "Size: " .$_FILES["file"]["size"] . "<br />"; echo "Temp file: " .$_FILES["file"]["tmp_name"] . "<br />"; if (file_exists("upload/" . $_FILES["file"]["name"])) { echo $_FILES["file"]["name"] . "already exists. "; } else { move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $_FILES["file"]["name"]); echo "Stored in: " . "upload/" . $_FILES["file"]["name"]; } } ?>
访问upload.html,上传一个 key.txt 文件
结果,网页给了一个警告,告诉我们要上传jpg。那我们就先上传一个jpg文件,看看究竟是怎么回事。
我们上传jpg文件,网页就不提示错误。接下来,点击submit,提交文件。
可以看到,该图片已经保存到upload目录下了
那我们该怎么绕过前端JS,上传我们的WebShell呢?
当然要抓包修改啦!
首先,正常选择一个jpg文件
点击submit,抓包,并做如下修改,再发送
可以看到 1.php文件已经被上传到upload目录下了:
接下来,对我们上传的恶意脚本进行访问
恶意代码成功执行。
该漏洞呢,开发者仅在前端页面设置了上传文件格式的限制,并没有在服务端进行限制,所以我们可以通过burp抓包,轻松地绕过前端检测,从而达到我们的恶意目的。
以上就是上传文件漏洞,绕过JS检测的全部过程。