web安全漏洞之文件上传

文件上传

            1什么是文件上传

文件上传就比如上传用户头像，上传图片，上传附件等。在服务端实现文件上传功能时，如果对用户上传的文件没有做好处理，就有可能导致十分严重的安全问题，比如被上传木马文件造成RCE（远程代码执行)

php文件上传的基本代码

```php

<?php

$file=$_FILES['file'];

move _uploaded_file($file[' tmp_name'],$file[ 'name']);

echo $file['name'];

```

PHP的文件上传，通常使用$_FILES配合move_uploaded_file实现。如果直接使用用户的文件名作为保存的文件名，直接保存在web可访问的目录中，就造成了任意文件上传漏洞。

                2 文件名截断绕过

 1.00截断

00截断是很早之前的一种绕过上传限制的方法，需要PHP版本小于5.4.39.

00截断是move_uploaded file函数的第二个参数dest，在处理字符时，如果该字符串中间有“\x00”字符，会发生截断。比如"1.php\x00.jpg"，因为PHP本身的字符串是二进制安全的（字符串可以保存\x00字符），在php代码中检测扩展名会获取到".jpg"，但是在移动后会变成“1.php”

这种文件上传的00截断还有一个限制是，从$_FILES['file']['name’]中取出的文件是不包含"\x00"的，也就是说只有下面的代码才有可能出现00截断的文件上传漏洞。

```php

<?php

$file = $_FILEs['file'];

$dir =$_POST['dir'];

move_uploaded_file($file['tmp_name'],$dir.'/'.$file['name']);

echo $file['name'];

```

2.转换字符集造成的截断

虽然$_FILES['file’]['name]不会出现"x00"字符，但是在进行字符集转换时仍有可能发生截断。PHP实现字符集转换常用iconv()函数，UTF-8单字节允许的字符范围为"\x00"-"\x7f"，如果被转换的字符不在该范围内，会造成PHP_ICONV_ERR_ILLEGAL_SEQ异常，在PHP版本小于5.4时，出现该异常后，就不会继续处理后续字符，造成截断。

          3文件扩展名黑名单绕过

在上传文件时，通过检测上传文件的扩展名是否在黑名单中，如果在黑名单中则拒绝上传。这种黑名单检测主要有两种场景。

 1.上传文件重命名

代码对上传的文件扩展名进行了检测，如果在黑名单中就拒绝上传。并且将上传的文件名进行了重命名。在这种场景下，可以使用一些较为冷门但可以被解析的扩展名进行绕过。

比如PHP的php3、php5、phtml、pht等（但是有限制，受限于web服务器，要求服务器能认识）。ASP可识别的有cdx、cer、asa等。JSP可识别的jspx等

还可以利用一些操作系统的特性，比如windows中的"php::$DATA"，"PHP"

2.上传文件不重命名

在这种场景下，除了利用一些冷门但可以解析的扩展名之外，还可以通过上传".htaccess"或".user.ini"等配置文件实现绕过。

a.上传.htaccess

".htaccess"是Apache服务器分布式配置文件的默认名称。在Apache主配置文件中通过"AllowOverride"指令配置”.htaccess”文件中可以广用哪些指令。在Apache低于"2.3.8"的版本中默认为"AI”，在高版本中为"None"。

在Apache版本小于2.3.8时，可以尝试上传".htaccess"，使用"SetHandler"指令使PHP解析其他扩展名的文件。

```

l <FilesHatch "a png">

2 setHandler application/x-httpd-php

3 </FilesMatch>

```

b.上传.userini

自PHP 5.3.0起支持基于每个目录的".htaccess"风格的INI文件，此类文件仅被CGI/FastCGl处理，默认文件名为".user.ini"。为了保证安全性，".user.ini"不能覆盖"php.ini"中的所有配置。在"https://www.php.net/manual/zh/ini.list.php“中可以査看所有的配置选项的配置范围。

在PHP INIPERDIR可配置的选项中，存在一个特殊配置"auto_prepend file"