- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
文/H3C攻防團隊
不少係統管理員都有過係統被上傳後門,木馬或者是網頁被人篡改的經曆,這類攻擊相當一部分是通過文件上傳進行的。入侵者是如何做到這些的,又該如何防禦,本文以PHP腳本語言為例,簡要介紹文件上傳漏洞,並結合實際漏洞演示如何利用漏洞進行上傳攻擊。
文件上傳漏洞是指網絡攻擊者上傳了一個可執行的文件到服務器並執行。這裏上傳的文件可以是木馬,病毒,惡意腳本或者WebShell等。這種攻擊方式是最為直接和有效的,部分文件上傳漏洞的利用技術門檻非常的低,對於攻擊者來說很容易實施。
文件上傳漏洞本身就是一個危害巨大的漏洞,WebShell更是將這種漏洞的利用無限擴大。大多數的上傳漏洞被利用後攻擊者都會留下WebShell以方便後續進入係統。攻擊者在受影響係統放置或者插入WebShell後,可通過該WebShell更輕鬆,更隱蔽的在服務中為所欲為。
這裏需要特別說明的是上傳漏洞的利用經常會使用WebShell,而WebShell的植入遠不止文件上傳這一種方式。
WebShell就是以asp、php、jsp或者cgi等網頁文件形式存在的一種命令執行環境,也可以將其稱之為一種網頁後門。攻擊者在入侵了一個網站後,通常會將這些asp或php後門文件與網站服務器web目錄下正常的網頁文件混在一起,然後使用瀏覽器來訪問這些後門,得到一個命令執行環境,以達到控製網站服務器的目的(可以上傳下載或者修改文件,操作數據庫,執行任意命令等)。
WebShell後門隱蔽較性高,可以輕鬆穿越防火牆,訪問WebShell時不會留下係統日誌,隻會在網站的web日誌中留下一些數據提交記錄,沒有經驗的管理員不容易發現入侵痕跡。攻擊者可以將WebShell隱藏在正常文件中並修改文件時間增強隱蔽性,也可以采用一些函數對WebShell進行編碼或者拚接以規避檢測。除此之外,通過一句話木馬的小馬來提交功能更強大的大馬可以更容易通過應用本身的檢測。<?php eval($_POST[a]); ?>就是一個最常見最原始的小馬,以此為基礎也湧現了很多變種,如<script language="php">eval($_POST[a]);</script>等。
大部分的網站和應用係統都有上傳功能,如用戶頭像上傳,圖片上傳,文檔上傳等。一些文件上傳功能實現代碼沒有嚴格限製用戶上傳的文件後綴以及文件類型,導致允許攻擊者向某個可通過Web訪問的目錄上傳任意PHP文件,並能夠將這些文件傳遞給PHP解釋器,就可以在遠程服務器上執行任意PHP腳本。
當係統存在文件上傳漏洞時攻擊者可以將病毒,木馬,WebShell,其他惡意腳本或者是包含了腳本的圖片上傳到服務器,這些文件將對攻擊者後續攻擊提供便利。根據具體漏洞的差異,此處上傳的腳本可以是正常後綴的PHP,ASP以及JSP腳本,也可以是篡改後綴後的這幾類腳本。
m 上傳文件是病毒或者木馬時,主要用於誘騙用戶或者管理員下載執行或者直接自動運行;
m 上傳文件是WebShell時,攻擊者可通過這些網頁後門執行命令並控製服務器;
m 上傳文件是其他惡意腳本時,攻擊者可直接執行腳本進行攻擊;
m 上傳文件是惡意圖片時,圖片中可能包含了腳本,加載或者點擊這些圖片時腳本會悄無聲息的執行;
m 上傳文件是偽裝成正常後綴的惡意腳本時,攻擊者可借助本地文件包含漏洞(Local File Include)執行該文件。如將bad.php文件改名為bad.doc上傳到服務器,再通過PHP的include,include_once,require,require_once等函數包含執行。
此處造成惡意文件上傳的原因主要有三種:
m 文件上傳時檢查不嚴。一些應用在文件上傳時根本沒有進行文件格式檢查,導致攻擊者可以直接上傳惡意文件。一些應用僅僅在客戶端進行了檢查,而在專業的攻擊者眼裏幾乎所有的客戶端檢查都等於沒有檢查,攻擊者可以通過NC,Fiddler等斷點上傳工具輕鬆繞過客戶端的檢查。一些應用雖然在服務器端進行了黑名單檢查,但是卻可能忽略了大小寫,如將.php改為.Php即可繞過檢查;一些應用雖然在服務器端進行了白名單檢查卻忽略了%00截斷符,如應用本來隻允許上傳jpg圖片,那麼可以構造文件名為xxx.php%00.jpg,其中%00為十六進製的0x00字符,.jpg騙過了應用的上傳文件類型檢測,但對於服務器來說,因為%00字符截斷的關係,最終上傳的文件變成了xxx.php。
m 文件上傳後修改文件名時處理不當。一些應用在服務器端進行了完整的黑名單和白名單過濾,在修改已上傳文件文件名時卻百密一疏,允許用戶修改文件後綴。如應用隻能上傳.doc文件時攻擊者可以先將.php文件後綴修改為.doc,成功上傳後在修改文件名時將後綴改回.php。
m 使用第三方插件時引入。好多應用都引用了帶有文件上傳功能的第三方插件,這些插件的文件上傳功能實現上可能有漏洞,攻擊者可通過這些漏洞進行文件上傳攻擊。如著名的博客平台WordPress就有豐富的插件,而這些插件中每年都會被挖掘出大量的文件上傳漏洞。
前文已經提到造成文件上傳漏洞的原因有多種,下麵以其中的第二種為例,選取 LibrettoCMS文件上傳漏洞(漏洞exploit-db編號為60560)詳解整個漏洞的利用過程。
Libretto是一款使用PHPphp語言和MySQL語言開發的內容管理係統。LibrettoCMS 2.2.2版本允許未驗證的用戶上傳文件,並且可以對已上傳的文件進行後綴名修改。雖然係統限製用戶隻能上傳doc和pdf格式的文件,但修改文件名時處理錯誤,導致用戶可修改文件後綴名。攻擊者可以將惡意文件後綴改為doc或者pdf,上傳成功後再將後綴修改為php即可執行。
訪問該係統的文件管理頁麵/plugins/pgrfilemanager/PGRFileManager.php,上傳一個正常的doc文件,發現可以上傳成功。編寫一個PHPphp語言的WebShell後門,也可以從網上下載已有的WebShell,並將WebShell文件的後綴修改為doc,此處將myshell.php後門修改為myshell.doc。
準備好WebShell以後訪問PGRFileManager.php文件管理頁麵將myshell.doc上傳到服務器,如圖1所示以,doc後綴的myshell已經成功上傳。此時通過瀏覽器訪問該doc格式的myshell是無法正常執行的。
圖1 mybshell.doc成功上傳
在文件管理頁麵右鍵點擊mybshell.doc並選擇rename進入修改文件名稱頁麵,將mybshell.doc改為mybshell.php並點擊Ok按鈕提交修改結果(,如圖2所示)。此時myshell文件的後綴已被成功修改了php,受該應用編碼實現影響文件管理頁麵已經無法讀取mybshell.php文件,但我們在係統服務器的文件上傳目錄裏可以看見修改後的文件,(如圖3所示)。
圖2 將mybshell.doc修改為mybshell.php
圖3 服務器裏myshell後綴已改為php
此時服務器上傳目錄裏的WebShell已經是php後綴,服務器環境已可以正常解析,通過瀏覽器直接訪問該文件:http://192.168.20.174/vlun/Mylibretto/userfiles/myshell.php,輸入WebShell中我們設置的密碼即可登錄到該WebShell頁麵(,如圖4所示)。從圖中我們可以看到,僅通過該WebShell文件攻擊者就可以在服務器上進行文件管理,數據庫管理,執行係統命令,執行任意PHP代碼。借助該WebShell,攻擊者可以將其他WebShell文件放置到更深層的目錄中,或者將PHP後門代碼直接添加到係統中已有的很少用的php文件中以防止被係統管理員發現。
圖4 成功訪問WebShell後門
係統開發人員應有較強的安全意識,尤其是采用phpPHP語言開發係統。在係統開發階段應充分考慮係統的安全性。對文件上傳漏洞來說,最好能在客戶端和服務器端對用戶上傳的文件名和文件路徑等項目分別進行嚴格的檢查。客戶端的檢查雖然對技術較好的攻擊者來說可以借助工具繞過,但是這也可以阻擋一些基本的試探。服務器端的檢查最好使用白名單過濾的方法,這樣能防止大小寫等方式的繞過,同時還需對%00截斷符進行檢測,對HTTP包頭的content-type也和上傳文件的大小也需要進行檢查。
係統上線後運維人員應有較強的安全意思,積極使用多個安全檢測工具對係統進行安全掃描,及時發現潛在漏洞並修複。定時查看係統日誌,web服務器日誌以發現入侵痕跡。定時關注係統所使用到的第三方插件的更新情況,如有新版本發布建議及時更新,如果第三方插件被爆有安全漏洞更應立即進行修補。對於整個網站都是使用的開源代碼或者使用網上的框架搭建的網站來說,尤其要注意漏洞的自查和軟件版本及補丁的更新,上傳功能非如無必要必選可以直接刪除。除對係統自生的維護外,服務器應進行合理配置,非必選如無必要一般的目錄都應去掉執行權限,上傳目錄可配置為隻讀。
文件上傳攻擊的本質就是將惡意文件或者腳本上傳到服務器,專業的安全設備防禦此類漏洞主要是通過對漏洞的上傳利用行為和惡意文件的上傳過程進行檢測。惡意文件千變萬化,隱藏手法也不斷推陳出新,對普通的係統管理員來說可以通過部署安全設備來幫助防禦。目前華三通信公司發布的SecPath IPS係列產品經過長期的積累,不但可以基於行為對網絡中大量文件上傳漏洞的利用進行檢測,同時還能基於內容對惡意文件進行識別。
對攻擊者來說,文件上傳漏洞一直都是獲取服務器shell的重要途徑。對係統維護人員來說,文件上傳漏洞的巨大危害也無須贅述,積極學習,深入了解漏洞的相關知識可以更從容的麵對這類攻擊。
產品與解決方案
