防御文件上傳的一些思路

• 客戶端javascript校驗（通常校驗擴展名）
• 檢查文件擴展名
• 檢查MIME類型
• 隨機文件名
• 隱藏路徑
• 重寫內(nèi)容（影響效率）imagecreatefromjpeg…
• 檢查內(nèi)容是否合法

繞過技巧

• $_FILES[‘file’][‘type’]:burp抓包可修改
• 內(nèi)容檢查：
  • <script language=“php”></script>
• 文件名拓展檢查：黑名單繞過 ○ Php3 php5 phtml PPHP pHp phtm inc ○ Jsp jspx jspf ○ Asp asa cer aspx ○ Exe exee ○ 后綴名加空格 ○ 00截斷 ○ 雙重后綴名繞過
• 常配合文件包含漏洞達到特殊效果
• 通過比較gd函數(shù)處理前后的文件找到不產(chǎn)生變化的區(qū)塊寫入特殊的payloadhttp://www.freebuf.com/articles/web/54086.html
• phpinfo+lfi
• htaccess攻擊
  • AddType application/x-httpd-php .jpg

<FilesMatch "lw.gif">
SetHandler application/x-httpd-php
</FilesMatch>

• opcache文件getshell(利用phpinfo獲得緩存目錄后上傳shell)https://www.exehack.net/3272.html

  • 如果內(nèi)存緩存的優(yōu)先級高于文件緩存，那么重寫opcache文件并不會執(zhí)行我們的webshell
  • 開啟了validate_timestamp的繞過:
    • Wordpress某些文件時間戳一樣
  • opcache-override

• 文件頭檢測方法：將木馬后綴到文件末(常見的是通過getimagesize()函數(shù))

• file_put_contents 數(shù)組繞過

• 當代碼中存在spl_autoload_register()函數(shù)時可以上傳.inc文件(laravel、composer中常用)(湖湘杯)

  • spl_autoload_register()函數(shù)使用后將會自動調用inc文件

• move_uploaded_file() 名稱可控時可上傳至任意位置，aaaa/../index.php/.繞過后綴名檢測

• 上傳模板文件

• 上傳繞過 parse_url函數(shù)可以通過多個斜杠來繞過