WEB安全--文件上传漏洞--其他绕过方式

一、条件竞争

1.1、原理

当我们上传webshell1到服务器中时，如果后端验证的方式是：

先接收文件，再在当前文件夹中检查文件的合法性；

那么就会产生问题，如果我们在后端验证文件后缀合法性之前在网页访问到我们的webshell1，使其生成新的webshell2到上级目录中的文件夹中或上级目录中；

那即使这时我们最开始的webshell1被删除，也没关系了，直接访问webshell2即可。

1.2、方式&示例

if(isset($_POST['submit'])){
    $ext_arr = array('jpg','png','gif');
    $file_name = $_FILES['upload_file']['name'];
    $temp_file = $_FILES['upload_file']['tmp_name'];
    $file_ext = substr($file_name,strrpos($file_name,".")+1);
    $upload_file = UPLOAD_PATH . '/' . $file_name;

    if(move_uploaded_file($temp_file, $upload_file)){    //先接收
        if(in_array($file_ext,$ext_arr)){                //再验证
             $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;
             rename($upload_file, $img_path);
             $is_upload = true;
        }else{
            $msg = "只允许上传.jpg|.png|.gif类型文件！";
            unlink($upload_file);                        //最后删除     
        }
    }else{
        $msg = '上传出错！';
    }
}

webshell1：

<?php
file_put_contents('../webshell2.php','<?php phpinfo(); ?>');

bp抓包：

暴力破解+请求：

设置两个线程，一个是上传webshell1，另一个请求127.0.0.1/upload-labs-master/webshell2，两个线程同时爆破。

二、多文件上传

2.1、原理

可以让我们上传多个文件，但只检测第一个上传的文件的合法性。

2.2、方式

只需要第一份上传合法文件，第二份上传马即可。

将第二个文件表单的action设置为绝对路径http://xxx.com/<file>以确定文件上传的路径，方便利用。

三、二次渲染绕过

3.1、原理

网站允许上传php等文件，但是会检查文件内容，对检测出来的恶意内容进行渲染，从而使得文件无害化。

但是当某个木马图片文件被上传时经过渲染后，将渲染后的文件再上传时就不会查出恶意文件。

3.2、方式

先将一个木马文件上传后渲染，再将经过渲染后的文件下载下来，把木马内容添加到经过渲染的图片文件，此时再上传去渲染就不会查出木马内容。

使用16进制编辑器找到两次文件的异同，在相同的地方（即被判定无害）加入恶意代码（一句话木马等），再次上传就可以成功了。