文章目录
一、实验目的:
二、工具:
三、实验环境:
四、漏洞原理:
五、实验过程:
1. 场景:
2. 实验步骤:
一、实验目的:
1、通过代码审计学习造成条件竞争漏洞的成因。
2、通过upload-labs闯关游戏(Pass-17)闯关游戏,学会条件竞争漏洞利用技巧。
二、工具:
火狐/谷歌浏览器
burpsuite
三、实验环境:
靶 机: windows10虚拟机:192.168.100.150
upload-labs-master闯关游戏
phpstudy2018搭建网站
攻击机: 物理机
四、漏洞原理:
条件竞争漏洞是一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计的不合理时,将会导致此类问题的发生。
上传文件源代码里没有校验上传的文件,文件直接上传,上传成功后才进行判断:如果文件格式符合要求,则重命名,如果文件格式不符合要求,将文件删除。
由于服务器并发处理(同时)多个请求,假如a用户上传了木马文件,由于代码执行需要时间,在此过程中b用户访问了a用户上传的文件,会有以下三种情况:
1.访问时间点在上传成功之前,没有此文件。
2.访问时间点在刚上传成功但还没有进行判断,该文件存在。
3.访问时间点在判断之后,文件被删除,没有此文件。`
五、实验过程:
页面源码:
$is_upload = false;
$msg = null; //判断文件上传操作
if(isset($_POST['submit'])){ //判断是否接收到这个文件
$ext_arr = array('jpg','png','gif'); //声明一个数组,数组里面有3条数据,为:'jpg','png','gif'
$file_name = $_FILES['upload_file']['name']; //获取图片的名字
$temp_file = $_FILES['upload_file']['tmp_name']; //获取图片的临时存储路径
$file_ext = substr($file_name,strrpos($file_name,".")+1); //通过文件名截取图片后缀
$upload_file = UPLOAD_PATH . '/' . $file_name; //构造图片的上传路径,这里暂时重构图片后缀名。
if(move_uploaded_file($temp_file, $upload_file)){ //这里对文件进行了转存
if(in_array($file_ext,$ext_arr)){ //这里使用截取到的后缀名和数组里面的后缀名进行对比
$img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext; //如果存在,就对文件名进行重构
rename($upload_file, $img_path); //把上面的文件名进行重命名
$is_upload = true;
}else{
$msg = "只允许上传.jpg|.png|.gif类型文件!"; //否则返回"只允许上传.jpg|.png|.gif类型文件!"数据。
unlink($upload_file);// 并删除这个文件
}
}else{
$msg = '上传出错!';
}
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
代码处理流程:声明一个数组,保存着允许上传的文件类型-->获取文件名和文件临时存储路径-->截取文件名-->构造文件上传后的存储路径-->对文件进行转存-->比对白名单,如果存在就对文件进行重命名-->否则就删除文件。
通过上面代码我们发现:
服务器先通过move_uploaded_file函数把文件保存了,然后再去判断后缀名是否合法,合法就重命名,如果不合法再删除。重点在于,在多线程情况下,就有可能出现还没处理完,我们就访问了原文件,这样就会导致防护被绕过。
我们上传一个文件上去,后端会检验上传文件是否和要求的文件是否一致。如果不能达到要求就会删除文件,如果达成要求就会保留,那么当我们上传文件上去的时候,检测是否到达要求需要一定的时间,这个时间可长可短,但是我们确确实实在某一刻文件已经上传到了指定地址,并且访问到这个文件。这时候就会造成条件竞争。
1. 场景:
条件竞争场景:
营造10000人同时上传文件1.php,另外有10000人在同时访问这个1.php;上传文件时,这个文件会有一段时间留存在服务器的上传目录下,而服务器脚本在进行判断文件是否合法而对文件进行删除时,会有一定的处理时间,可能在某个时间里,服务器还未来得及删除文件,从而导致我们对这个上传文件成功访问。
2. 实验步骤:
创建一个1.php的文件:
内容:
注:这个文件的作用就是,在访问到这个文件后,这个文件会在服务器的当前目录下创建一个test.php的,内容为<?php phpinfo();?>。
<?php
$f= fopen ("test.php","w") ;
fputs ($f,'<?php phpinfo();?>');
?>
1
2
3
4
5
营造10000人上传1.php的场景:
上传上面新建的1.php文件:
使用burpsuite进行抓包,拦截代理流量,并把拦截到的数据包发送到Intruder模块:
在报文头后加&a=1,将1选中:
营造10000人访问1.php的场景:
同时新建页面,访问1.php这个文件:
放掉前面拦截的流量:
将拦截到的访问1.php流量发送到Intruder模块:
在报文头后加?a=1并将1选中:
都选择类型为Numbers的字典,数量为10000:
然后将线程都调到20:
点击Start attack执行攻击:
查看访问的攻击流量响应包里出现200:
查看服务器目录,发现成功创建test.php文件:
可以成功访问解析通过脚本创建的test.php文件:
文章知识点与官方知识档案匹配,可进一步学习相关知识
————————————————
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/weixin_45588247/article/details/118796606