首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 PHP

你不知道的文件上传漏洞php代码分析

Posted in PHP onSeptember 29, 2016

漏洞描述

开发中文件上传功能很常见,作为开发者,在完成功能的基础上我们一般也要做好安全防护。
文件处理一般包含两项功能,用户上传和展示文件,如上传头像。

文件上传攻击示例

upload.php

<?php
$uploaddir = 'uploads/'; 
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)){
 echo "File is valid, and was successfully uploaded.\n";
} 
else {
 echo "File uploading failed.\n";
}
?>

upload.html

<form name="upload" action="upload1.php" method="POST" ENCTYPE="multipart/formdata">
Select the file to upload: <input type="file" name="userfile">
<input type="submit" name="upload" value="upload">
</form>

上述代码未经过任何验证,恶意用户可以上传php文件,代码如下

<?php eval($_GET['command']);?>

恶意用户可以通过访问 如http://server/uploads/shell.php?command=phpinfo(); 来执行远程命令

Content-type验证

upload.php

<?php
if($_FILES['userfile']['type'] != "image/gif") {//获取Http请求头信息中ContentType
 echo "Sorry, we only allow uploading GIF images";
 exit;
}
$uploaddir = 'uploads/';
$uploadfile = $uploaddir.basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)){
 echo "File is valid, and was successfully uploaded.\n";
} else {
 echo "File uploading failed.\n";
}
?>

该方式是通过Http请求头信息进行验证,可通过修改Content-type ==> image/jpg绕过验证,可以通过脚本或BurpSuite、fiddle修改
如下
Content-Disposition: form-data; name="userfile"; filename="shell.php"
Content-Type: image/gif

图片类型验证

该方法通过读取文件头中文件类型信息,获取文件类型

备注:如JPEG/JPG文件头标识为FFD8

你不知道的文件上传漏洞php代码分析

upload.php

<?php
$imageinfo = getimagesize($_FILES['userfile']['tmp_name']);
if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg') {
 echo "Sorry, we only accept GIF and JPEG images\n";
 exit;
}
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)){
 echo "File is valid, and was successfully uploaded.\n";
} else {
 echo "File uploading failed.\n";
}
?>

可以通过图片添加注释来绕过此验证。
如添加注释<?php phpinfo(); ?>,保存图片后将其扩展名改为php,则可成功上传。
上传成功后访问该文件则可看到如下显示

你不知道的文件上传漏洞php代码分析

文件扩展名验证

 通过黑名单或白名单对文件扩展名进行过滤,如下代码

upload.php

<?php
$blacklist = array(".php", ".phtml", ".php3", ".php4");
foreach ($blacklist as $item) {
if(preg_match("/$item\$/i", $_FILES['userfile']['name'])) {
 echo "We do not allow uploading PHP files\n";
 exit;
}
}
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)){
 echo "File is valid, and was successfully uploaded.\n";
} else {
 echo "File uploading failed.\n";
}
?>

当黑名单不全,构造特殊文件名可以绕过扩展名验证

直接访问上传的文件

将上传文件保存在非web root下其他文件夹下,可以防止用户通过路径直接访问到文件。
upload.php

<?php
$uploaddir = 'd:/uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
echo "File is valid, and was successfully uploaded.\n";
} else {
echo "File uploading failed.\n";
}
?>

用户不可以直接通过http://localhost/uploads/ 来访问文件,必须通过view.php来访问
view.php

<?php
$uploaddir = 'd:/uploads/';
$name = $_GET['name'];
readfile($uploaddir.$name);
?>

查看文件代码未验证文件名,用户可以通过例如http://localhost/view.php?name=..//php/upload.php,查看指定的文件

解决漏洞示例

upload.php

<?php
require_once 'DB.php';
$uploaddir = 'D:/uploads/'; 
$uploadfile = tempnam($uploaddir, "upload_");
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
$db =& DB::connect("mysql://username:password@localhost/database");
if(PEAR::isError($db)) {
unlink($uploadfile);
die "Error connecting to the database";
}
$res = $db->query("INSERT INTO uploads SET name=?, original_name=?,mime_type=?",
array(basename($uploadfile,basename($_FILES['userfile']['name']),$_FILES['userfile']['type']));
if(PEAR::isError($res)) {
unlink($uploadfile);
die "Error saving data to the database. The file was not uploaded";
}
$id = $db->getOne('SELECT LAST_INSERT_ID() FROM uploads');
echo "File is valid, and was successfully uploaded. You can view it <a href=\"view.php?id=$id\">here</a>\n";
} else {
echo "File uploading failed.\n";
}
?>

view.php

<?php
require_once 'DB.php';
$uploaddir = 'D:/uploads/';
$id = $_GET['id'];
if(!is_numeric($id)) {
die("File id must be numeric");
}
$db =& DB::connect("mysql://root@localhost/db");
if(PEAR::isError($db)) {
die("Error connecting to the database");
}
$file = $db->getRow('SELECT name, mime_type FROM uploads WHERE id=?',array($id), DB_FETCHMODE_ASSOC);
if(PEAR::isError($file)) {
die("Error fetching data from the database");
}
if(is_null($file) || count($file)==0) {
die("File not found");
}
header("Content-Type: " . $file['mime_type']);
readfile($uploaddir.$file['name']);
?>

上述代码文件名随机更改,文件被存储在web root之外,用户通过id在数据库中查询文件名,读取文件,可以有效的阻止上述漏洞发生

总结

通过以上示例分析,可总结一下几点

1.文件名修改,不使用用户上传的文件名

2.用户不可以通过上传路径直接访问文件

3.文件查看采用数据库获取文件名,从而在相应文件服务器读取文件

4.文件上传限制文件大小,个人上传数量等

 以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

你不知道的文件上传漏洞php代码分析

- Author -

码上组合

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐
简单易用的计数器(数据库)
Oct 09 PHP
PHP setTime 设置当前时间的代码
Aug 27 PHP
PHP+iFrame实现页面无需刷新的异步文件上传
Sep 16 PHP
PHP获取服务器端信息的方法
Nov 28 PHP
PHP的serialize序列化数据以及JSON格式化数据分析
Oct 10 PHP
CodeIgniter钩子用法实例详解
Jan 20 PHP
PHP转换文本框内容为HTML格式的方法
Jul 20 PHP
PHP从二维数组得到N层分类树的实现代码
Oct 11 PHP
PHP设计模式之工厂模式定义与用法详解
Apr 03 PHP
PHP实现唤起微信支付功能
Feb 18 PHP
Laravel 5.5 异常处理 &amp; 错误日志的解决
Oct 17 PHP
Laravel 框架路由原理与路由访问实例分析
Apr 14 PHP
PHP的Json中文处理解决方案
Sep 29 #PHP
PHP二分查找算法示例【递归与非递归方法】
Sep 29 #PHP
PHP快速排序quicksort实例详解
Sep 28 #PHP
PHP实现QQ快速登录的方法
Sep 28 #PHP
PHP自定义错误用法示例
Sep 28 #PHP
PHP构造函数与析构函数用法示例
Sep 28 #PHP
PHP设计模式之工厂模式与单例模式
Sep 28 #PHP
数据处理(2) WebSockets(3) Hudi(1) GUI(2) feDisplacementMap(1) Tkinter(4) Apache(17) sortInts(1) apply(1) Pool(1)
You might like
坏狼的PHP学习教程之第1天
2008/06/15 PHP
php跨站攻击实例分析
2014/10/28 PHP
jQuery 隔行换色 支持键盘上下键,按Enter选定值
2009/08/02 Javascript
jQuery LigerUI 插件介绍及使用之ligerDrag和ligerResizable示例代码打包
2011/04/06 Javascript
jQuery EasyUI API 中文文档 - Menu菜单
2011/10/03 Javascript
Javascript基础 函数“重载” 详细介绍
2013/10/25 Javascript
jquery做的一个简单的屏幕锁定提示框
2014/03/26 Javascript
jquery文本框中的事件应用以输入邮箱为例
2014/05/06 Javascript
jQuery实现新消息闪烁标题提示的方法
2015/03/11 Javascript
bootstrap提示标签、提示框实现代码
2016/12/28 Javascript
JS实现一个简单的日历
2017/02/22 Javascript
原生JS发送异步数据请求
2017/06/08 Javascript
基于node下的http小爬虫的示例代码
2018/01/11 Javascript
微信小程序仿微信运动步数排行(交互)
2018/07/13 Javascript
vue移动端下拉刷新和上滑加载
2020/10/27 Javascript
[01:07:47]Secret vs Optic Supermajor 胜者组 BO3 第一场 6.4
2018/06/05 DOTA
python基础教程之五种数据类型详解
2017/01/12 Python
Python selenium抓取微博内容的示例代码
2018/05/17 Python
Python基于OpenCV库Adaboost实现人脸识别功能详解
2018/08/25 Python
pandas数据集的端到端处理
2019/02/18 Python
Python爬虫实现验证码登录代码实例
2019/05/10 Python
python中的decimal类型转换实例详解
2019/06/26 Python
从列表或字典创建Pandas的DataFrame对象的方法
2019/07/06 Python
django 消息框架 message使用详解
2019/07/22 Python
python通过robert、sobel、Laplace算子实现图像边缘提取详解
2019/08/21 Python
python读取文件指定行内容实例讲解
2020/03/02 Python
俄罗斯卫浴采暖及维修用品超级市场:Dkrussia
2020/05/12 全球购物
小学生手册家长评语
2014/04/16 职场文书
五四青年节优秀演讲稿范文
2014/05/28 职场文书
车辆工程专业求职信
2014/06/14 职场文书
教师批评与自我批评(群众路线)
2014/10/15 职场文书
2015年外贸业务员工作总结范文
2015/05/23 职场文书
班主任开场白
2015/06/01 职场文书
100句拼搏进取的名言警句,值得一读!
2019/10/07 职场文书
Redis实战高并发之扣减库存项目
2022/04/14 Redis
mysql sock 文件解析及作用讲解
2022/07/15 MySQL