前段時間我們收到客戶的滲透測試服務委托,在這之前,客戶網站受到攻擊,資料被篡改,要求我們對網站進行全面的滲透測試,包括漏洞的檢測與測試,邏輯漏洞.垂直水準越權漏洞,檔案上傳漏洞.等等服務項目,在進行安全測試之前,我們對客戶的網站大體的了解了一下,整個平台網站,包括APP,安卓端,IOS端都采用的JSP+oracle資料庫架構開發,前端使用VUE,伺服器是linux centos系統.下面我們将滲透測試過程裡,對檔案上傳漏洞的檢測與webshell的分析進行記錄,希望更多的人了解什麼是滲透測試.
我們直擊漏洞根源,檢視代碼在uplpod.php檔案裡,可以看到有個lang變量給了language.php,并附加條件,設定的指定檔案都存在,才可以将參數值傳遞過去,代碼截圖如下:
仔細看,我們看到代碼調用了save_file的調用方式,由此可以導緻langup值可以僞造,追蹤溯源看到該值是對應的WEB前端使用者的檔案上傳功能,在使用者檔案上傳這裡,并沒有做安全效驗與安全白名單攔截機制,導緻可以重命名,直接将.jsp的腳本檔案上傳到網站的根目錄下,包括APP也存在該漏洞.
我們SINE安全技術來滲透測試複現一下該檔案上傳漏洞是如何利用的,首先登入會員,并打開個人資料頁面,有個檔案上傳功能,裡面隻允許上傳圖檔格式的檔案,隻允許上傳JPG,PNG,GIF,等字尾名的檔案,以普通的圖檔檔案來上傳,我們抓取POST的上傳資料包,将cont1的路徑位址改為/beifen/1.jsp,并送出過去,傳回資料為成功上傳.複制路徑,浏覽器裡打開,發現我們上傳的JSP腳本檔案執行了,也再一次的證明該漏洞是足以導緻網站資料被篡改的,在這之前客戶的網站肯定被上傳了webshell網站木馬檔案,随即我們對客戶的網站源代碼進行全面的人工安全檢測與分析,對一句話木馬特制eval,加密,包括檔案上傳的時間點,進行檢查,發現在網站的JS目錄下存在indax.jsp,浏覽器裡打開通路,是一個JSP的腳本木馬,可以對網站進行篡改,下載下傳代碼,建立檔案,等網站管理者的操作,同理APP端也是存在同樣的漏洞.調用的檔案上傳功能接口是一樣.具體的webshell截圖如下:
到這裡我們隻是滲透測試的一方面,主要是檢測的檔案上傳功能是否存在漏洞,是否可以重命名,自定義上傳路徑以及檔案格式繞過,關于滲透測試中發現的檔案上傳漏洞如何修複,我們給大家一些修複建議與辦法,首先對檔案的上傳格式進行限制,隻允許白名單裡的jpg,png,gif等格式的檔案上傳,對自定義的路徑位址進行變量覆寫,不允許更改路徑位址.對上傳的目錄做腳本的安全限制,去除JSP的腳本執行權限.