上传漏洞及防御

上传漏洞及防御

上传问题

  • 上传是web功能中必备的功能, 但是上传文件来源于用户,而且接下来可能立马就会被使用或访问
  • 我们并不知道用户会上传什么样的东西,如果在访问的过程中这个文件被当成了程序去解析就麻烦了
  • 比如像是php,asp这样的文件,再次去访问就会执行立马的代码,这实际上就会给了攻击者很大的后门
  • 攻击者可以把自己的逻辑在服务器上执行,那么他可以想干什么就干什么,所以上传漏洞会是一个大问题
  • 如果使用nodejs这类语言的话,上传文件被解析执行基本不会存在,我们仅仅做一些可能存在问题的示例
    <?php
        phpinfo(); // 输出服务器信息
        var_dump($_SERVER); // 输入服务器内置变量信息
    ?>
    
  • 如上面的代码,如果上传文件路径和url是对应的,那么就会被执行这些代码
  • 在这里我们没有指定相关路由,php自动解析路径url, 所以这个漏洞在php中相当严重

上传漏洞演示

  • 此处我们使用nodejs做演示
  • 前端程序
    <!-- pug 模板引擎 -->
    form(method="post", enctype="multipart/form-data", action="")
        input-field
            input(name="img", type="file")
    
  • 后端程序,我们首先要安装下支持form-data的body解析模块
    • $ cnpm i -S koa-body,之后在合适的地方引入
    • const bodyParser = require('koa-body'); 引入
    • app.use(bodyParse({multipart: true})); 配置
    • router.get('/uploadFile/*', site.uploadFile) 添加上传路由
  • 后端接收上传程序
    const fs = require('fs');
    const path = require('path');
    if(data.files) {
        let file = data.files.img;
        let ext = path.extname(file);
        let filename = Date.now() + ext;
        fs.renameSync(file.path, './static/upload/' + filename);
        data.fields.content += '<img src="/uploadFile/' + filename +'" />';
        data = data.fields;
        // 模拟处理数据
        const result = await Comment.create({
            userId,
            postId: data.postId,
            content: data.content;
        });
        if(result) {
            ctx.redirect(`/post/${data.postId}`); // 跳转到文章详情页
        } else {
            ctx.body = 'Oops, something went wrong!'
        }
    }
    
  • 后端处理上传路径逻辑
    const fs = require('fs');
    exports.uploadFile = async function(ctx, next) {
        ctx.request.path;
        let filepath = ctx.request.path.replace('^\/uploadFile\//', '');
        filepath = './static/upload' + filepath; // 拼接成本地文件名称
        // 判断文件是否存在,不存在则返回404
        if(!fs.existsSync(filepath)) {
            ctx.status = 404;
            return;
        }
        let ext = path.extname(filepath);
        // 这里使用nodejs模拟php的自动运行文件行为
        var run = function(filepath) {
            return new Promise(function(resolve, reject) {
                // 使用child_procss这个模块去运行这个文件
                var child = require('child_procss').fork(filepath, [], {});
                var ret = '';
                child.stdout.on('data', function(data) {
                    console.log(data);
                    ret += data;
                });
                child.on('close', function(data) {
                    resolve(ret);
                });
                child.on('error', function(error) {
                    reject(error);
                })
            })
        }
        if(ext === '.js') {
            ctx.body = await run(filepath);
            return;
        }
        ctx.body = fs.readFileSync(filepath);
    }
    
  • 好的,程序到此为止,如果我们正常上传图片,它会正常展示,
  • 如果我们上传的是.js文件,它就会尝试运行.js文件, 加入上传的文件是下面的内容
    var dir = require('fs').readdirSync('/etc');
    console.log(dir);
    
  • 这时候就会泄露服务端很多信息,非常危险,其实他可以执行任何它想要去做的事情
  • 当然nodejs这类程序是我们自己有意写的,实际上nodejs中没有必要考虑这个漏洞
  • 在nodejs中这类场景是不存在的场景,不过在php,asp等环境是自动执行的
  • 所以,我们需要知道存在这个上传漏洞,也就是上传了服务器可执行文件,然后文件被执行

上传漏洞案例

  • 基于php框架的cms系统中图片裁剪上传,前端上传受限,但传输换包导致收到攻击
  • 基于jsp的3gQQ网站上传漏洞:上传文件被重命名,但验证码错误返回文件路径, 基于文件路径发起上传攻击

上传漏洞的防御

  • 上传之所以存在问题是因为
    • 文件由用户上传
    • 上传后通过url访问刚上传的文件
    • 在访问的时候,这个文件有可能会被当做程序去解析
  • 根据上面的因素,我们对应做出对策
    • 上传过程中限制用户上传程序
    • 访问时不能直接访问文件
    • 访问时,如果是程序则禁止执行
  • 具体措施,我们下面来聊聊

限制上传后缀

// 这里是后端来处理,当然前端也要做,后端做更为重要
// 但有时候,仅依靠后缀会不可靠
if(ext === '.js') {
    throw new Error('File Type Not Allowed!');
}

文件类型检查

// file.type是浏览器解析的时候给的,用户无法控制
// 但是攻击者可以会绕过浏览器给你发请求
// 所以这个在一定程度上也不可靠
if(file.type !== 'images/png') {
    throw new Error('不是png格式');
}

文件内容检查

// 一般情况下通过文件类型来判断具体是什么文件
// 但是像php,asp,jsp等混编的文件是无法正确判断的,因为其前几位可以自己编写
// 这个方法仍旧是存在不可靠因素
var fileBuffer = fs.readFileSync(file.path);
// 判断第一位
if(fileBuffer[0] == 0x5b) {
    // ...
}
// 判断第二位
// 判断第三位

直接读取文件而不执行

// 用程序直接读取之后返回给客户端
// php等语言同样可以做
// 这样不给文件执行的机会, 但是有个性能问题(读写过程)
ctx.body = fs.readFileSync(filepath);

权限控制

  • 可写,可执行互斥
  • 也就是一个文件/目录不能有上面这两种权限的同时存在
  • 脚本可正常工作是因为它可以被执行, 如果不能被执行就没有危害
  • 这是web服务器的一个配置原则,最低安全保障
  • 在部署应用的时候,使用的用户是低权限用户,满足部署需要即可,不能用root用户
  • 如果是静态文件存储,直接使用云存储会更好更安全,我们这里考虑的是自己服务器的处理方案

PHP 文件上传防御

<?php
if(strtolower($_SERVER['REQUEST_METHOD']) == 'post') {
    $content = $_POST['content'];
    // var_dump($_FILES['img']);
    $info = pathinfo($_FILES['img']['name']);
    // var_dump($info);
    // 限制上传后缀,也可以用数组的方式来处理
    if($info['extension'] !== 'png') {
        // TODO
    }
    // 文件类型的检查
    if($_FILES['img']['type'] !== 'image/png') {
        // TODO
    }
    // 文件内容的检查
    $info2 = finfo_file(finfo_open(), $_FILES['img']['tmp_name']);
    // var_dump($info2); // 根据前几个字符来判断 TODO
}
// 通过程序输出文件, 用户访问示例:/test.php?down=1
if($_GET['down']) {
    $file = file_get_contents('./test.php'); // 读取该文件,简单处理,示例而已
    header('Content-Type: text/plain');
    die($file);
}
?>
<form method="post" enctype="multipart/form-data">
    <input type="file" name="img" />
    <textarea name="content">hello</textarea>
    <button type="submit">提交</button>
</form>
                       

点击阅读全文

上一篇 2023年 6月 7日 am10:56
下一篇 2023年 6月 7日 am10:57