在日常對客戶網站進行滲透測試服務的時候,我們SINE安全經常遇到客戶網站,app存在檔案上傳功能,程式員在設計開發代碼的過程中都會對上傳的檔案類型,格式,字尾名做安全校驗與過濾判斷,SINE安全工程師在對檔案上傳漏洞進行測試的時候,往往發現的網站漏洞都是由于伺服器的環境漏洞導緻的,像IIS,apache,nginx環境,都存在着可以導緻任意檔案上傳的漏洞。
關于導緻檔案上傳漏洞的産生以及測試,我們來詳細的分析一下:
IIS解析漏洞導緻的任意檔案上傳
首先比較常見的是客戶網站使用的IIS環境來搭建的,一般是IIS+PHP+Mysql資料庫組合,或者IIS+aspx+sql2005資料庫,IIS存在解析漏洞,當建立檔案名為.php的時候,在這個目錄下的所有檔案,或者代碼,都會以PHP腳本的權限去運作,比如其中一個客戶網站,可以将上傳的目錄改為1.php,那麼我們上傳的jpg檔案到這個目錄下,通路的網址是域名/1.php/1.jpg從浏覽器裡通路這個位址,就會是php腳本的權限運作。當上傳網站木馬webshell過去,就會直接拿到網站的管理權限。存在IIS解析漏洞的版本是5.0-6.0版本。
nginx解析漏洞導緻的任意檔案上傳
nginx是靜态通路,以及大并發,能夠承載多人通路,目前很多網站都在使用的一種伺服器環境,簡單來講就是HTTP通路的代理,高速穩定,深受很多網站營運者的喜歡,在nginx最低版本中存在解析漏洞,可以導緻運作PHP腳本檔案,漏洞産生的原因是由于php.ini配置檔案與nginx配合解析的時候,将預設的字尾名認為是最重的檔案名,導緻可以修改字尾名來執行PHP檔案。我們SINE安全在滲透測試中發現客戶網站開啟nginx以及fast-cgi模式後,就會很容易的上傳網站木馬到網站目錄中,我們将jpg圖檔檔案插入一句話木馬代碼,并上傳到網站的圖檔目錄中。
我們在通路這個圖檔的時候,直接在後面輸入/1.php,就會導緻圖檔檔案以php腳本權限來運作了。如下圖所示:
apache解析漏洞導緻的任意檔案上傳
apache也是目前使用較多的一個伺服器環境,尤其php網站使用的較多,因為穩定,快速,易于PHP通路,可以将第三方的一些開發語言編譯到網站中,apache也是存在漏洞的,尤其在apache1.0-2.0版本中,字尾名判斷這裡沒有做詳細的規定,導緻可以繞過apache安全機制,上傳惡意的檔案名。預設是允許多個字尾名進行解析的,如果命名的字尾名不被apache認可解析,就會向前尋找字尾名,直到字尾名是apache認可的,就會直接解析成功。 該檔案上傳漏洞使用的條件是需要開啟module模式,不是這個模式的上傳不了。我們SINE安全在對客戶網站進行滲透測試的時候,首先會改字尾名為apache不認可的,然後POST上傳過去,直接運作php腳本。如下圖所示:
總的來說導緻任意檔案上傳漏洞的發生也存在于伺服器環境中,那麼在滲透測試過程中該如何的修複漏洞呢?将IIS版本更新到7.0以上,Nginx版本也更新到最新版本,包括apache版本更新到2.4以上,在上傳功能代碼裡對其進行檔案格式的判斷,限制目錄的建立,可杜絕以上的問題的發生。