Web安全测试学习笔记 - 图片上传

不少网站都有上传资源(图片或者文件)的功能，资源上传后通常会存储在服务器的一个文件夹里面，若是攻击者绕过了上传时候的文件类型验证，传了木马或者其余可执行的代码上去，那服务器就危险了。

 

我用DVWA的文件上传来作练习，low模式没有任何验证，随便上传任意大小和类型的文件，现实中通常不会存在，故跳过，从medium模式开始。

进入页面后，我尝试传一个php文件上去(文件中有一段代码，用来列出上级目录的全部文件)，下图说明medium模式对文件类型进行了限制(在作这个练习此以前，我以为作了类型限制就很安全了，反正其余类型都传不上去嘛~)，其实有一些方法能够绕过这种检测。

 

修改Content-Type绕过文件类型检测(medium模式)

用Burp Suite抓包以下，content-type的类型是octet-stream。根据页面的报错，这个页面只能传jpg和png格式的图片。

尝试把请求中content-type改成image/jpeg，再次发送请求，上传成功。说明medium模式只验证了Mime-Type，并无验证文件自己(我传的仍是php文件)

上传成功后访问3.php，代码被执行（恶意代码被执行的风险有多大不用多说了。。。）

利用图片马绕过(heigh模式)

将security level修改成heigh，再次使用修改content-type的方法上传，发现上传失败，也就是说，heigh模式校验了上传文件自己究竟是不是图片。接下来尝试用图片马来绕过。什么是图片马，简单来讲就是在图片中嵌入了代码。。。步骤以下：

1. 合成图片马

    找到一张货真价实的图片，而后将图片和php文件合成另外一张图片，在命令行使用以下命令：

    copy 3.png /b + test.php /a y.png    (y.png就是图片马)

2. 上传图片马

    用Burp Suite抓包看到咱们的代码已经隐藏在图片里了，而后直接上传便可(由于文件格式是符合要求的)

    

利用GIF89a绕过(heigh模式)

什么是GIF89a呢？先上传一张货真价实的gif图片，抓包以下图，图片的最开始几个字母就是GIF89a。我的理解GIF89a应该是gif文件的开头标志，只要有这个标志，就会被当作gif图片~

 

我将本地的php文件开头加上gif89a，而后把文件重命名为.jpg，进行上传并上传成功（实际上我上传的是一段代码）

这里有个疑问：明明只容许上传jpeg和png，为什么gif图片也上传了呢？个人理解是：文件类型和后缀名是分开校验的。校验文件类型的函数只校验了是不是图片(没管是什么类型的图片)，而jpeg和png的校验只校验了后缀名。

 

那有没有办法避免这种状况呢？有，把security level修改成impossible模式，图片马和gif89a都不行了，由于impossible模式在high的基础上，还检测了上传文件是否是货真价实的图片~

 

一点点感悟：

1. 上传文件类型的校验越严格越好(除了后缀名必须校验文件自己)

2. 上传的文件放在单独的文件服务器上

 

如需转载，请注明出处，这是对他人劳动成果的尊重～