【文件上传绕过】——条件竞争漏洞

简介: 【文件上传绕过】——条件竞争漏洞

文章目录
一、实验目的:
二、工具:
三、实验环境:
四、漏洞原理:
五、实验过程:
1. 场景:
2. 实验步骤:
一、实验目的:
1、通过代码审计学习造成条件竞争漏洞的成因。
2、通过upload-labs闯关游戏(Pass-17)闯关游戏,学会条件竞争漏洞利用技巧。

二、工具:
火狐/谷歌浏览器
burpsuite

三、实验环境:
靶 机: windows10虚拟机:192.168.100.150
     upload-labs-master闯关游戏
     phpstudy2018搭建网站

攻击机: 物理机

四、漏洞原理:
  条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。

  上传文件源代码里没有校验上传的文件,文件直接上传,上传成功后才进行判断:如果文件格式符合要求,则重命名,如果文件格式不符合要求,将文件删除。
  由于服务器并发处理(同时)多个请求,假如a用户上传了木马文件,由于代码执行需要时间,在此过程中b用户访问了a用户上传的文件,会有以下三种情况:
  1.访问时间点在上传成功之前,没有此文件。
  2.访问时间点在刚上传成功但还没有进行判断,该文件存在。
  3.访问时间点在判断之后,文件被删除,没有此文件。`

五、实验过程:
页面源码:

$is_upload = false;
$msg = null; //判断文件上传操作

if(isset($_POST['submit'])){ //判断是否接收到这个文件
$ext_arr = array('jpg','png','gif'); //声明一个数组,数组里面有3条数据,为:'jpg','png','gif'
$file_name = $_FILES['upload_file']['name']; //获取图片的名字
$temp_file = $_FILES['upload_file']['tmp_name']; //获取图片的临时存储路径
$file_ext = substr($file_name,strrpos($file_name,".")+1); //通过文件名截取图片后缀
$upload_file = UPLOAD_PATH . '/' . $file_name; //构造图片的上传路径,这里暂时重构图片后缀名。

if(move_uploaded_file($temp_file, $upload_file)){ //这里对文件进行了转存
    if(in_array($file_ext,$ext_arr)){ //这里使用截取到的后缀名和数组里面的后缀名进行对比
         $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;  //如果存在,就对文件名进行重构
         rename($upload_file, $img_path);  //把上面的文件名进行重命名
         $is_upload = true;
    }else{
        $msg = "只允许上传.jpg|.png|.gif类型文件!"; //否则返回"只允许上传.jpg|.png|.gif类型文件!"数据。
        unlink($upload_file);// 并删除这个文件
    }
}else{
    $msg = '上传出错!';
}

}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
代码处理流程:声明一个数组,保存着允许上传的文件类型-->获取文件名和文件临时存储路径-->截取文件名-->构造文件上传后的存储路径-->对文件进行转存-->比对白名单,如果存在就对文件进行重命名-->否则就删除文件。
通过上面代码我们发现:
  服务器先通过move_uploaded_file函数把文件保存了,然后再去判断后缀名是否合法,合法就重命名,如果不合法再删除。重点在于,在多线程情况下,就有可能出现还没处理完,我们就访问了原文件,这样就会导致防护被绕过。
  我们上传一个文件上去,后端会检验上传文件是否和要求的文件是否一致。如果不能达到要求就会删除文件,如果达成要求就会保留,那么当我们上传文件上去的时候,检测是否到达要求需要一定的时间,这个时间可长可短,但是我们确确实实在某一刻文件已经上传到了指定地址,并且访问到这个文件。这时候就会造成条件竞争。

1. 场景:
条件竞争场景:
  营造10000人同时上传文件1.php,另外有10000人在同时访问这个1.php;上传文件时,这个文件会有一段时间留存在服务器的上传目录下,而服务器脚本在进行判断文件是否合法而对文件进行删除时,会有一定的处理时间,可能在某个时间里,服务器还未来得及删除文件,从而导致我们对这个上传文件成功访问。

2. 实验步骤:
创建一个1.php的文件:

内容:
注:这个文件的作用就是,在访问到这个文件后,这个文件会在服务器的当前目录下创建一个test.php的,内容为<?php phpinfo();?>。

<?php
$f= fopen ("test.php","w") ;
fputs ($f,'<?php phpinfo();?>');
?>

1
2
3
4
5

营造10000人上传1.php的场景:
上传上面新建的1.php文件:

使用burpsuite进行抓包,拦截代理流量,并把拦截到的数据包发送到Intruder模块:

在报文头后加&a=1,将1选中:

营造10000人访问1.php的场景:
同时新建页面,访问1.php这个文件:

放掉前面拦截的流量:

将拦截到的访问1.php流量发送到Intruder模块:

在报文头后加?a=1并将1选中:

都选择类型为Numbers的字典,数量为10000:

然后将线程都调到20:

点击Start attack执行攻击:

查看访问的攻击流量响应包里出现200:

查看服务器目录,发现成功创建test.php文件:

可以成功访问解析通过脚本创建的test.php文件:

文章知识点与官方知识档案匹配,可进一步学习相关知识
————————————————

                        版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

原文链接:https://blog.csdn.net/weixin_45588247/article/details/118796606

目录
相关文章
|
安全 前端开发 JavaScript
信息服务上线渗透检测网络安全检查报告和解决方案2(安装文件信息泄漏、管理路径泄漏、XSS漏洞、弱口令、逻辑漏洞、终极上传漏洞升级)
信息服务上线渗透检测网络安全检查报告和解决方案2(安装文件信息泄漏、管理路径泄漏、XSS漏洞、弱口令、逻辑漏洞、终极上传漏洞升级)
210 0
|
2月前
|
安全 关系型数据库 MySQL
Web安全-条件竞争漏洞
Web安全-条件竞争漏洞
48 0
|
2月前
|
安全 关系型数据库 MySQL
Web安全-任意文件下载漏洞
Web安全-任意文件下载漏洞
98 5
|
2月前
|
安全 Java PHP
Web安全-命令执行漏洞
Web安全-命令执行漏洞
32 2
|
2月前
|
安全 JavaScript 前端开发
Web安全-逻辑错误漏洞
Web安全-逻辑错误漏洞
23 1
|
6月前
|
安全 应用服务中间件 PHP
文件上传解析漏洞,以及检测方式的绕过
文件上传解析漏洞,以及检测方式的绕过
|
11月前
|
安全 Shell PHP
wzsc_文件上传(条件竞争)
wzsc_文件上传(条件竞争)
206 0
|
监控 安全 JavaScript
某远控RCE绕过某数字的利用方式
某远控RCE绕过某数字的利用方式
277 2
|
安全 Shell PHP
渗透攻击实例-文件上传导致任意代码执行
渗透攻击实例-文件上传导致任意代码执行
|
安全 Shell PHP
干货 | 命令执行(RCE)面对各种过滤,骚姿势绕过总结
干货 | 命令执行(RCE)面对各种过滤,骚姿势绕过总结
1029 0