在日常對客戶網站進行滲透測試服務的時候���,我們經常遇到客戶網站,app存在文件上傳功能����,程序員在設計開發(fā)代碼的過程中都會對上傳的文件類型����,格式�,后綴名做安全效驗與過濾判斷���。在對文件上傳漏洞進行測試的時候,往往發(fā)現(xiàn)的網站漏洞都是由于服務器的環(huán)境漏洞導致的�,像IIS,apache,nginx環(huán)境����,都存在著可以導致任意文件上傳的漏洞。
關于導致文件上傳漏洞的產生以及測試�����,我們來詳細的分析一下:
IIS解析漏洞導致的任意文件上傳
首先比較常見的是客戶網站使用的IIS環(huán)境來搭建的�����,一般是IIS+PHP+Mysql數(shù)據(jù)庫組合���,或者IIS+aspx+sql2005數(shù)據(jù)庫�����,IIS存在解析漏洞�,當創(chuàng)建文件名為.php的時候�����,在這個目錄下的所有文件,或者代碼��,都會以PHP腳本的權限去運行���,比如其中一個客戶網站��,可以將上傳的目錄改為1.php����,那么我們上傳的jpg文件到這個目錄下�����,訪問的網址是域名/1.php/1.jpg從瀏覽器里訪問這個地址����,就會是php腳本的權限運行。當上傳網站木馬webshell過去�����,就會直接拿到網站的管理權限�����。存在IIS解析漏洞的版本是5.0-6.0版本��。
nginx解析漏洞導致的任意文件上傳
nginx是靜態(tài)訪問��,以及大并發(fā)�����,能夠承載多人訪問����,目前很多網站都在使用的一種服務器環(huán)境,簡單來講就是HTTP訪問的代理��,高速穩(wěn)定��,深受很多網站運營者的喜歡���,在nginx最低版本中存在解析漏洞����,可以導致運行PHP腳本文件,漏洞產生的原因是由于php.ini配置文件與nginx配合解析的時候����,將默認的后綴名認為是最重的文件名,導致可以修改后綴名來執(zhí)行PHP文件�����。我們在滲透測試中發(fā)現(xiàn)客戶網站開啟nginx以及fast-cgi模式后��,就會很容易的上傳網站木馬到網站目錄中����,我們將jpg圖片文件插入一句話木馬代碼,并上傳到網站的圖片目錄中�。
apache解析漏洞導致的任意文件上傳
apache也是目前使用較多的一個服務器環(huán)境,尤其php網站使用的較多����,因為穩(wěn)定,快速�,易于PHP訪問,可以將第三方的一些開發(fā)語言編譯到網站中��,apache也是存在漏洞的��,尤其在apache1.0-2.0版本中,后綴名判斷這里沒有做詳細的規(guī)定�����,導致可以繞過apache安全機制���,上傳惡意的文件名。默認是允許多個后綴名進行解析的��,如果命名的后綴名不被apache認可解析�,就會向前尋找后綴名,直到后綴名是apache認可的�,就會直接解析成功。 該文件上傳漏洞使用的條件是需要開啟module模式���,不是這個模式的上傳不了��。我們在對客戶網站進行滲透測試的時候�����,首先會改后綴名為apache不認可的��,然后POST上傳過去���,直接運行php腳本�。
46780956