web安全之文件上傳漏洞攻擊與防範方法

一、 檔案上傳漏洞與WebShell的關係

檔案上傳漏洞是指網路攻擊者上傳了一個可執行的檔案到伺服器並執行。這裡上傳的檔案可以是木馬，病毒，惡意腳本或WebShell等。這種攻擊方式是最直接有效的，部分檔案上傳漏洞的利用技術門檻非常的低，對於攻擊者來說很容易實施。

檔案上傳漏洞本身就是一個危害巨大的漏洞，WebShell更是將這種漏洞的利用無限擴大。大多數的上傳漏洞被利用後攻擊者都會留下WebShell以方便後續進入系統。攻擊者在受影響系統放置或插入WebShell後，可透過該WebShell更輕鬆，更隱密的在服務中為所欲為。

這裡需要特別說明的是上傳漏洞的利用常常會使用WebShell，而WebShell的植入遠不止檔案上傳這一種方式。

1 Webshel​​l簡介

WebShell就是以asp、php、jsp或cgi等網頁檔案形式存在的一種指令執行環境，也可以稱之為一種網頁後門。攻擊者在入侵了一個網站後，通常會將這些asp或php後門檔案與網站伺服器web目錄下正常的網頁檔案混在一起，然後使用瀏覽器來存取這些後門，得到一個命令執行環境，以達到控制網站伺服器的目的（可以上傳下載或修改文件，操作資料庫，執行任意指令等）。

WebShell後門隱蔽較性高，可以輕鬆穿越防火牆，存取WebShell時不會留下系統日誌，只會在網站的web日誌中留下一些資料提交記錄，沒有經驗的管理員不容易發現入侵痕跡。攻擊者可以將WebShell隱藏在正常檔案中並修改檔案時間增強隱蔽性，也可以採用一些函數對WebShell進行編碼或拼接以規避偵測。除此之外，透過一句話木馬的小馬來提交功能更強大的大馬可以更容易通過應用程式本身的檢測。 就是一個最常見最原始的小馬，以此為基礎也湧現了許多變種，如等。

2 檔案上傳漏洞原理

大部分的網站和應用程式系統都有上傳功能，有些檔案上傳功能實作程式碼沒有嚴格限制使用者上傳的檔案後綴以及文件類型，導致允許攻擊者向某個可透過Web存取的目錄上傳任意PHP文件，並能夠將這些文件傳遞給PHP解釋器，就可以在遠端伺服器上執行任意PHP腳本。

當系統存在檔案上傳漏洞時攻擊者可以將病毒，木馬，WebShell，其他惡意腳本或包含了腳本的圖片上傳到伺服器，這些檔案將對攻擊者後續攻擊提供便利。根據具體漏洞的差異，此處上傳的腳本可以是正常後綴的PHP，ASP以及JSP腳本，也可以是篡改後綴後的這幾類腳本。

上傳檔案是病毒或木馬時，主要用於誘騙使用者或管理員下載執行或直接自動執行;

##上傳檔案是

WebShell時，攻擊者可透過這些網頁後門執行指令並控制伺服器；

上傳檔案是

其他惡意腳本時，攻擊者可直接執行腳本進行攻擊；

上傳檔案是

惡意圖片時，圖片中可能包含了腳本，載入或點擊這些圖片時腳本會悄無聲息的執行；

上傳檔案是

偽裝成正常後綴的惡意腳本時，攻擊者可藉助本機檔案包含漏洞(Local File Include)執行該文件。如將bad.php檔案改名為bad.doc上傳到伺服器，再透過PHP的include，include_once，require，require_once等函數包含執行。

此處造成惡意檔案上傳的原因主要有三種：

檔案上傳時檢查不嚴格。沒有進行文件格式檢查。有些應用程式只是在客戶端進行了檢查，而在專業的攻擊者眼裡幾乎所有的客戶端檢查都等於沒有檢查，攻擊者可以透過NC，Fiddler等斷點上傳工具輕鬆繞過客戶端的檢查。一些應用雖然在伺服器端進行了黑名單檢查，但是卻可能忽略了大小寫，如將.php改為.Php即可繞過檢查；一些應用雖然在伺服器端進行了白名單檢查卻忽略了

 

圖4 成功存取WebShell後門

4 檔案上傳漏洞防禦

首先，上傳的檔案能夠被Web容器解釋執行。所以檔案上傳後所在的目錄要是Web容器所覆蓋到的路徑。
其次，使用者能夠從Web上存取這個檔案。如果檔案上傳了，但使用者無法透過Web訪問，或無法得到Web容器解釋這個腳本，那麼也不能稱之為漏洞。
最後，使用者上傳的檔案若被安全檢查、格式化、圖片壓縮等功能改變了內容，也可能導致攻擊不成功。

防範檔案上傳漏洞常見的幾種方法。

1、文件上傳的目錄設定為不可執行

只要web容器無法解析該目錄下面的文件，即使攻擊者上傳了腳本文件，伺服器本身也不會受到影響，因此這一點至關重要。

2、判斷檔案類型

在判斷檔案類型時，可以結合使用MIME Type、後綴檢查等方式。在文件類型檢查中，強烈推薦白名單方式，黑名單的方式已經無數次被證明是不可靠的。此外，對於圖片的處理，可以使用壓縮函數或resize函數，在處理圖片的同時破壞圖片中可能包含的HTML程式碼。

3、使用隨機數字改寫檔案名稱和檔案路徑

檔案上傳如果要執行程式碼，則需要使用者能夠存取到這個檔案。在某些環境中，使用者能上傳，但不能存取。如果應用了隨機數改寫了檔案名稱和路徑，將會大大增加攻擊的成本。再來就是像shell.php.rar.rar和crossdomain.xml這種文件，都將因為重命名而無法攻擊。

4、單獨設定檔案伺服器的網域名稱

由於瀏覽器同源策略的關係，一系列用戶端攻擊將會失效，例如上傳crossdomain.xml、上傳包含Javascript的XSS利用等問題將會解決。

l 系統開發階段的防禦

系統開發人員應有強烈的安全意識，尤其是採用PHP語言開發系統。在系統開發階段應充分考慮系統的安全性。對檔案上傳漏洞來說，最好能在客戶端和伺服器端對使用者上傳的檔案名稱和檔案路徑等項目分別進行嚴格的檢查。客戶端的檢查雖然對技術較好的攻擊者來說可以藉助工具繞過，但這也可以阻擋一些基本的試探。伺服器端的檢查最好使用白名單過濾的方法，這樣能防止大小寫等方式的繞過，同時還需對

以上是web安全之文件上傳漏洞攻擊與防範方法的詳細內容。更多資訊請關注PHP中文網其他相關文章！