一、漏洞概述
文件上传、读取和包含漏洞是Web安全中常见的高危风险点,攻击者可通过此类漏洞执行恶意代码、窃取敏感数据或直接控制服务器。其核心成因在于开发者未对用户输入内容进行充分验证或过滤,导致攻击者能够绕过安全机制,上传或执行恶意文件。
二、文件上传漏洞详解
1. 漏洞产生与危害
- 产生原因:未对上传文件的类型、内容、扩展名进行严格校验。
- 危害:导致WebShell植入、服务器沦陷、数据泄露等。
2. 常见绕过技术
- MIME TYPE绕过:伪造HTTP请求头中的Content-Type(如将PHP文件标记为image/jpeg)。
- getimagesize绕过:在图片文件中插入恶意代码,利用图像处理函数的漏洞绕过检测。
- 黑名单绕过:使用非常见扩展名(如.phtml、.php5)或大小写混淆(如.PhP)。
- 白名单绕过:通过截断符号(如%00)或双扩展名(如test.jpg.php)欺骗白名单校验。
- 时间竞争条件:利用文件上传后到安全检查前的短暂时间差,快速访问恶意文件。
3. 实战案例
- 编辑器漏洞:如FCKeditor、UEditor等历史版本中存在未授权上传点,可直接上传WebShell。
- 解析漏洞:
- IIS:目录解析漏洞(/test.asp/test.jpg被解析为ASP文件)。
- Apache:文件名解析漏洞(test.php.xxx可能被解析为PHP文件)。
- Nginx:错误配置导致/test.jpg/.php被解析为PHP文件。
三、文件读取/包含漏洞
1. 漏洞原理
- 文件包含:通过include、require等函数动态加载外部文件,未限制路径时可能导致任意文件读取或代码执行。
- 伪协议利用:
- php://filter:读取文件源码(如php://filter/convert.base64-encode/resource=config.php)。
- data://:直接执行代码(如data://text/plain,<?php system("id");?>)。
2. 实战利用
- 敏感文件读取:通过路径穿越读取/etc/passwd、web.config等。
- 结合文件上传:上传包含恶意代码的图片,再通过文件包含执行。
四、WAF绕过与高级攻击
1. WAF绕过技巧
- 数据溢出:通过超长参数或畸形请求触发WAF处理异常。
- Fuzz测试:利用模糊测试工具(如Burp Intruder)探测WAF规则盲区。
- 编码混淆:使用URL编码、Unicode或多重压缩绕过关键词检测。
2. RCE漏洞链
文件上传/包含漏洞常与远程代码执行(RCE)结合,形成完整攻击链。例如:
1. 上传含恶意代码的.htaccess文件覆盖配置。
2. 通过文件包含调用系统命令,反弹Shell。
五、防御与修复方案
1. 文件上传:
- 使用白名单校验文件类型和扩展名。
- 重命名文件并存储至非Web目录。
- 禁用危险函数(如exec、system)。
2. 文件包含:
- 禁用动态包含(如allow_url_include=Off)。
- 限制文件路径为固定目录。
3. 其他措施:
- 定期更新中间件(IIS/Apache/Nginx)及编辑器插件。
- 部署WAF并配置自定义规则拦截异常请求。
免责声明
本文所述技术内容仅供学习与安全研究之用,旨在帮助开发者提升系统安全性。任何个人或组织不得利用文中提及的技术从事非法攻击或渗透测试。使用者需严格遵守法律法规,若违反相关规定,本文作者不承担任何直接或间接责任。