【文件上传绕过】——条件竞争漏洞

文章目录
一、实验目的：
二、工具：
三、实验环境：
四、漏洞原理：
五、实验过程：
1. 场景：
2. 实验步骤：
一、实验目的：
1、通过代码审计学习造成条件竞争漏洞的成因。
2、通过upload-labs闯关游戏(Pass-17)闯关游戏，学会条件竞争漏洞利用技巧。

二、工具：
火狐/谷歌浏览器
burpsuite

三、实验环境：
靶 机： windows10虚拟机：192.168.100.150
     upload-labs-master闯关游戏
     phpstudy2018搭建网站

攻击机： 物理机

四、漏洞原理：
  条件竞争漏洞是一种服务器端的漏洞，由于服务器端在处理不同用户的请求时是并发进行的，因此，如果并发处理不当或相关操作逻辑顺序设计的不合理时，将会导致此类问题的发生。

  上传文件源代码里没有校验上传的文件，文件直接上传，上传成功后才进行判断：如果文件格式符合要求，则重命名，如果文件格式不符合要求，将文件删除。
  由于服务器并发处理(同时)多个请求，假如a用户上传了木马文件，由于代码执行需要时间，在此过程中b用户访问了a用户上传的文件，会有以下三种情况：
  1.访问时间点在上传成功之前，没有此文件。
  2.访问时间点在刚上传成功但还没有进行判断，该文件存在。
  3.访问时间点在判断之后，文件被删除，没有此文件。`

五、实验过程：
页面源码：

$is_upload = false;
$msg = null; //判断文件上传操作

if(isset($_POST['submit'])){ //判断是否接收到这个文件
$ext_arr = array('jpg','png','gif'); //声明一个数组，数组里面有3条数据，为：'jpg','png','gif'
$file_name = $_FILES['upload_file']['name']; //获取图片的名字
$temp_file = $_FILES['upload_file']['tmp_name']; //获取图片的临时存储路径
$file_ext = substr($file_name,strrpos($file_name,".")+1); //通过文件名截取图片后缀
$upload_file = UPLOAD_PATH . '/' . $file_name; //构造图片的上传路径，这里暂时重构图片后缀名。

if(move_uploaded_file($temp_file, $upload_file)){ //这里对文件进行了转存
    if(in_array($file_ext,$ext_arr)){ //这里使用截取到的后缀名和数组里面的后缀名进行对比
         $img_path = UPLOAD_PATH . '/'. rand(10, 99).date("YmdHis").".".$file_ext;  //如果存在，就对文件名进行重构
         rename($upload_file, $img_path);  //把上面的文件名进行重命名
         $is_upload = true;
    }else{
        $msg = "只允许上传.jpg|.png|.gif类型文件！"; //否则返回"只允许上传.jpg|.png|.gif类型文件！"数据。
        unlink($upload_file);// 并删除这个文件
    }
}else{
    $msg = '上传出错！';
}

}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
代码处理流程：声明一个数组，保存着允许上传的文件类型-->获取文件名和文件临时存储路径-->截取文件名-->构造文件上传后的存储路径-->对文件进行转存-->比对白名单，如果存在就对文件进行重命名-->否则就删除文件。
通过上面代码我们发现：
  服务器先通过move_uploaded_file函数把文件保存了，然后再去判断后缀名是否合法，合法就重命名，如果不合法再删除。重点在于，在多线程情况下，就有可能出现还没处理完，我们就访问了原文件，这样就会导致防护被绕过。
  我们上传一个文件上去，后端会检验上传文件是否和要求的文件是否一致。如果不能达到要求就会删除文件，如果达成要求就会保留，那么当我们上传文件上去的时候，检测是否到达要求需要一定的时间，这个时间可长可短，但是我们确确实实在某一刻文件已经上传到了指定地址，并且访问到这个文件。这时候就会造成条件竞争。

1. 场景：
条件竞争场景：
  营造10000人同时上传文件1.php，另外有10000人在同时访问这个1.php；上传文件时，这个文件会有一段时间留存在服务器的上传目录下，而服务器脚本在进行判断文件是否合法而对文件进行删除时，会有一定的处理时间，可能在某个时间里，服务器还未来得及删除文件，从而导致我们对这个上传文件成功访问。

2. 实验步骤：
创建一个1.php的文件：

内容：
注：这个文件的作用就是，在访问到这个文件后，这个文件会在服务器的当前目录下创建一个test.php的，内容为<?php phpinfo();?>。

<?php
$f= fopen ("test.php","w") ;
fputs ($f,'<?php phpinfo();?>');
?>

1
2
3
4
5

营造10000人上传1.php的场景：
上传上面新建的1.php文件：

使用burpsuite进行抓包，拦截代理流量，并把拦截到的数据包发送到Intruder模块：

在报文头后加&a=1，将1选中：

营造10000人访问1.php的场景：
同时新建页面，访问1.php这个文件：

放掉前面拦截的流量：

将拦截到的访问1.php流量发送到Intruder模块：

在报文头后加?a=1并将1选中：

都选择类型为Numbers的字典，数量为10000:

然后将线程都调到20:

点击Start attack执行攻击：

查看访问的攻击流量响应包里出现200:

查看服务器目录，发现成功创建test.php文件：

可以成功访问解析通过脚本创建的test.php文件:

文章知识点与官方知识档案匹配，可进一步学习相关知识
————————————————

                        版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

原文链接：https://blog.csdn.net/weixin_45588247/article/details/118796606