首页
所有分类
TAGS
文字工具 EMOJI BIBLE
编程 PHP

你不知道的文件上传漏洞php代码分析

Posted in PHP onSeptember 29, 2016

漏洞描述

开发中文件上传功能很常见,作为开发者,在完成功能的基础上我们一般也要做好安全防护。
文件处理一般包含两项功能,用户上传和展示文件,如上传头像。

文件上传攻击示例

upload.php

<?php
$uploaddir = 'uploads/'; 
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)){
 echo "File is valid, and was successfully uploaded.\n";
} 
else {
 echo "File uploading failed.\n";
}
?>

upload.html

<form name="upload" action="upload1.php" method="POST" ENCTYPE="multipart/formdata">
Select the file to upload: <input type="file" name="userfile">
<input type="submit" name="upload" value="upload">
</form>

上述代码未经过任何验证,恶意用户可以上传php文件,代码如下

<?php eval($_GET['command']);?>

恶意用户可以通过访问 如http://server/uploads/shell.php?command=phpinfo(); 来执行远程命令

Content-type验证

upload.php

<?php
if($_FILES['userfile']['type'] != "image/gif") {//获取Http请求头信息中ContentType
 echo "Sorry, we only allow uploading GIF images";
 exit;
}
$uploaddir = 'uploads/';
$uploadfile = $uploaddir.basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)){
 echo "File is valid, and was successfully uploaded.\n";
} else {
 echo "File uploading failed.\n";
}
?>

该方式是通过Http请求头信息进行验证,可通过修改Content-type ==> image/jpg绕过验证,可以通过脚本或BurpSuite、fiddle修改
如下
Content-Disposition: form-data; name="userfile"; filename="shell.php"
Content-Type: image/gif

图片类型验证

该方法通过读取文件头中文件类型信息,获取文件类型

备注:如JPEG/JPG文件头标识为FFD8

你不知道的文件上传漏洞php代码分析

upload.php

<?php
$imageinfo = getimagesize($_FILES['userfile']['tmp_name']);
if($imageinfo['mime'] != 'image/gif' && $imageinfo['mime'] != 'image/jpeg') {
 echo "Sorry, we only accept GIF and JPEG images\n";
 exit;
}
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)){
 echo "File is valid, and was successfully uploaded.\n";
} else {
 echo "File uploading failed.\n";
}
?>

可以通过图片添加注释来绕过此验证。
如添加注释<?php phpinfo(); ?>,保存图片后将其扩展名改为php,则可成功上传。
上传成功后访问该文件则可看到如下显示

你不知道的文件上传漏洞php代码分析

文件扩展名验证

 通过黑名单或白名单对文件扩展名进行过滤,如下代码

upload.php

<?php
$blacklist = array(".php", ".phtml", ".php3", ".php4");
foreach ($blacklist as $item) {
if(preg_match("/$item\$/i", $_FILES['userfile']['name'])) {
 echo "We do not allow uploading PHP files\n";
 exit;
}
}
$uploaddir = 'uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)){
 echo "File is valid, and was successfully uploaded.\n";
} else {
 echo "File uploading failed.\n";
}
?>

当黑名单不全,构造特殊文件名可以绕过扩展名验证

直接访问上传的文件

将上传文件保存在非web root下其他文件夹下,可以防止用户通过路径直接访问到文件。
upload.php

<?php
$uploaddir = 'd:/uploads/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
echo "File is valid, and was successfully uploaded.\n";
} else {
echo "File uploading failed.\n";
}
?>

用户不可以直接通过http://localhost/uploads/ 来访问文件,必须通过view.php来访问
view.php

<?php
$uploaddir = 'd:/uploads/';
$name = $_GET['name'];
readfile($uploaddir.$name);
?>

查看文件代码未验证文件名,用户可以通过例如http://localhost/view.php?name=..//php/upload.php,查看指定的文件

解决漏洞示例

upload.php

<?php
require_once 'DB.php';
$uploaddir = 'D:/uploads/'; 
$uploadfile = tempnam($uploaddir, "upload_");
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
$db =& DB::connect("mysql://username:password@localhost/database");
if(PEAR::isError($db)) {
unlink($uploadfile);
die "Error connecting to the database";
}
$res = $db->query("INSERT INTO uploads SET name=?, original_name=?,mime_type=?",
array(basename($uploadfile,basename($_FILES['userfile']['name']),$_FILES['userfile']['type']));
if(PEAR::isError($res)) {
unlink($uploadfile);
die "Error saving data to the database. The file was not uploaded";
}
$id = $db->getOne('SELECT LAST_INSERT_ID() FROM uploads');
echo "File is valid, and was successfully uploaded. You can view it <a href=\"view.php?id=$id\">here</a>\n";
} else {
echo "File uploading failed.\n";
}
?>

view.php

<?php
require_once 'DB.php';
$uploaddir = 'D:/uploads/';
$id = $_GET['id'];
if(!is_numeric($id)) {
die("File id must be numeric");
}
$db =& DB::connect("mysql://root@localhost/db");
if(PEAR::isError($db)) {
die("Error connecting to the database");
}
$file = $db->getRow('SELECT name, mime_type FROM uploads WHERE id=?',array($id), DB_FETCHMODE_ASSOC);
if(PEAR::isError($file)) {
die("Error fetching data from the database");
}
if(is_null($file) || count($file)==0) {
die("File not found");
}
header("Content-Type: " . $file['mime_type']);
readfile($uploaddir.$file['name']);
?>

上述代码文件名随机更改,文件被存储在web root之外,用户通过id在数据库中查询文件名,读取文件,可以有效的阻止上述漏洞发生

总结

通过以上示例分析,可总结一下几点

1.文件名修改,不使用用户上传的文件名

2.用户不可以通过上传路径直接访问文件

3.文件查看采用数据库获取文件名,从而在相应文件服务器读取文件

4.文件上传限制文件大小,个人上传数量等

 以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

你不知道的文件上传漏洞php代码分析

- Author -

码上组合

声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。

PHP 相关文章推荐
模拟OICQ的实现思路和核心程序(三)
Oct 09 PHP
php下的权限算法的实现
Apr 28 PHP
php 异常处理实现代码
Mar 10 PHP
php 正则 过滤html 的超链接
Jun 02 PHP
黑夜路人出的几道php笔试题
Aug 04 PHP
PHP中图片等比缩放的实例
Mar 24 PHP
ThinkPHP验证码使用简明教程
Mar 05 PHP
php实现mysql封装类示例
May 07 PHP
PHP模块memcached使用指南
Dec 08 PHP
php使用类继承解决代码重复的问题
Feb 11 PHP
PHP将session信息存储到数据库的类实例
Mar 04 PHP
帝国cms目录结构分享
Jul 06 PHP
PHP的Json中文处理解决方案
Sep 29 #PHP
PHP二分查找算法示例【递归与非递归方法】
Sep 29 #PHP
PHP快速排序quicksort实例详解
Sep 28 #PHP
PHP实现QQ快速登录的方法
Sep 28 #PHP
PHP自定义错误用法示例
Sep 28 #PHP
PHP构造函数与析构函数用法示例
Sep 28 #PHP
PHP设计模式之工厂模式与单例模式
Sep 28 #PHP
Next.js(1) 脚手架(2) SingleFlight(2) set(1) frozenset(1) TableField(1) Mybatis-Plus(3) mounted(1) create(1) el-table(1)
You might like
PHP读取ACCESS数据到MYSQL的代码
2011/05/11 PHP
用PHP实现的四则运算表达式计算实现代码
2011/08/02 PHP
PHP中curl_setopt函数用法实例分析
2015/04/16 PHP
PHP处理postfix邮件内容的方法
2015/06/16 PHP
作为PHP程序员你要知道的另外一种日志
2018/07/30 PHP
使用javascript访问XML数据的实例
2006/12/27 Javascript
IE6与IE7中,innerHTML获取param的区别
2009/03/15 Javascript
jQuery编写widget的一些技巧分享
2010/10/28 Javascript
js函数中onmousedown和onclick的区别和联系探讨
2013/05/19 Javascript
jquery的ajax异步请求接收返回json数据实例
2014/06/16 Javascript
JS实现浏览器状态栏文字闪烁效果的方法
2015/10/27 Javascript
javascript如何实现360度全景照片问题汇总
2016/04/04 Javascript
Bootstrap3学习笔记(二)之排版
2016/05/20 Javascript
javascript运算符——位运算符全面介绍
2016/07/14 Javascript
让DIV的滚动条自动滚动到最底部的3种方法(推荐)
2016/09/24 Javascript
ES6学习教程之Map的常用方法总结
2017/08/03 Javascript
详解如何使用babel进行es6文件的编译
2018/05/29 Javascript
Vue指令实现OutClick的示例
2020/11/16 Javascript
[04:50]2019DOTA2高校联赛秋季赛四强集锦
2019/12/27 DOTA
python正则表达式修复网站文章字体不统一的解决方法
2013/02/21 Python
python中的格式化输出用法总结
2016/07/28 Python
Python检测网络延迟的代码
2018/05/15 Python
用pyqt5 给按钮设置图标和css样式的方法
2019/06/24 Python
Python解析json时提示“string indices must be integers”问题解决方法
2019/07/31 Python
python能做什么 python的含义
2019/10/12 Python
Python中bisect的使用方法
2019/12/31 Python
python对指定字符串逆序的6种方法(小结)
2020/04/02 Python
ansible-playbook实现自动部署KVM及安装python3的详细教程
2020/05/11 Python
Django自关联实现多级联动查询实例
2020/05/19 Python
python xlsxwriter模块的使用
2020/12/24 Python
Elemental Herbology官网:英国美容品牌
2019/04/27 全球购物
外语专业毕业生自我评价分享
2013/10/05 职场文书
小学班主任心得体会
2016/01/07 职场文书
党员电教片《信仰》心得体会
2016/01/15 职场文书
反四风问题学习心得体会
2016/01/22 职场文书
查看nginx配置文件路径和资源文件路径的方法
2021/03/31 Servers