0 文件上传漏洞

上传漏洞是利用文件上传漏洞把脚本文件上传到服务器。

1 利用文件名类漏洞

1.1 javascript检测扩展名绕过漏洞

检测原理 通过js代码检测文件文件类型

function check(){
        var filename=document.getElementById("file");
        var str=filename.value.split(".");
        var ext=str[str.length-1];
        if(ext=='jpg'||ext=='png'||ext=='jpeg'||ext=='gif'){
            return true;
        }else{
            alert("这不是图片！")
            return false;
        }
        return false;

在表单中使用onsumbit=check();调用js函数来检查上传文件的扩展名。
漏洞原理 利用浏览器修改脚本，破坏检测即可。

1.2 0x00特殊字符截断漏洞

漏洞原理 在C语言、PHP等语言中，0x00被认为是终止符，可构造文件名为xxx.php[\0].jpg,[\0]为16进制的0x00字符，由于[\0]（0x00）是截断字符，文件名会变成xxx.php。

1.3 IIS和Windows系统下的“;”截断字符漏洞

漏洞原理 在IIS和Windows环境下，截断字符“;”与0x00类似。可构造aaa.asp;bbb.jpg。IIS 6将执行aaa.asp。

1.4 FCKEditor为典型的黑名单式文件检测漏洞

漏洞原理 黑名单式的限制文件上传，代码如下：

$Config ['AllowedExtensions'] ['File'] = array();//允许上传的类型
$Config ['DeniedExtensions'] ['File'] = array('php','php3','php5','phtml','asp','aspx','ascx','jsp','cfm','cfc','pl','bat','exe','dll','reg','cgi');//禁止上传的类型

漏洞防止 如果不必要，可以删除上传代码。

2 利用文件内容类漏洞

2.1 文件头检测漏洞

漏洞原理 判断文件头内容是否符合要求，

几个常见的文件头对应关系：
（1） .JPEG、.JPE、.JPG："JPGGraphic File";
（2） .gif："GIF 89A";
（3） .zip："Zip Compressed";
（4） .doc、.xls、.xlt、.ppt、.apr："MS Compound Document v1 or Lotus Approach APRfile";

3 利用系统漏洞

3.1 Apache从后往前解析特性

漏洞原理 Apache 1.x、2.x中对文件解析有如下特性：
（1）从后往前解析，直至一个可识别文件类型为止；
（2）可识别类型定义在mime.types文件中。
可构造xxx.php.rar来绕过。

3.2 IIS 6文件夹拓展名漏洞

漏洞原理 IIS 6曾经出过的漏洞，处理文件父文件夹如为*.asp,则本文件按ASP格式解析。例如：****/aaa.asp/bbb.jpg，bbb.jpg将按asp文件解析。

参考资料
[01]上传漏洞总结
[02]米斯特白帽培训讲义漏洞篇文件上传
[03]Web应用安全(麦子学院)|文件上传漏洞
[04]Web应用安全(麦子学院)|文件上传另一种方式
[05]Web应用安全(麦子学院)|文件上传漏洞之绕过方式
[06]Web应用安全(麦子学院)|文件上传漏洞防御
[07]闲话文件上传漏洞
[08]文件上传漏洞(绕过姿势)
[09]吴翰清.白帽子讲Web安全 [M].北京:高等教育出版社,2012.3 . 180-191