Web安全实战：文件上传漏洞攻防与iwebsec靶场解析

1. 文件上传漏洞攻防实战解析

最近在iwebsec靶场通关文件上传漏洞模块时，发现这个看似简单的漏洞类型竟藏着不少门道。作为Web安全中最常见的高危漏洞之一，文件上传功能如果防护不当，轻则导致网站被挂马，重则可能引发服务器沦陷。今天我就结合实战经验，详细拆解文件上传漏洞的攻防要点。

文件上传漏洞本质上源于服务端对用户提交的文件内容、类型、扩展名等验证不严。攻击者通过构造恶意文件（如webshell）绕过前端验证，将可执行脚本上传至服务器，从而获取系统控制权。iwebsec靶场精心设计了12种不同防护级别的文件上传场景，正好可以用来系统性地掌握各种绕过手法。

2. 基础绕过手法与防护原理

2.1 前端验证绕过

最简单的漏洞类型往往只依赖前端JavaScript验证文件扩展名。在iwebsec的第一关中，页面通过以下代码检查上传文件：

javascript复制function checkFile() {
    var file = document.getElementById("upload").value;
    if (!/\.(jpg|png|gif)$/.test(file)) {
        alert("仅允许上传jpg/png/gif文件");
        return false;
    }
}

绕过方法极其简单：

1. 使用Burp Suite拦截上传请求
2. 将文件名shell.php修改为shell.jpg通过前端验证
3. 在Burp中改回shell.php提交

关键点：前端验证永远不可信，服务端必须做二次校验。实际开发中建议使用FileReader读取文件头进行基础验证。

2.2 MIME类型检测绕过

第二关增加了服务端MIME类型检查，常见防御代码如下：

php复制if($_FILES['file']['type'] != 'image/jpeg'){
    die("文件类型不正确");
}

绕过方案：

• 使用Burp修改Content-Type为image/jpeg
• 或者上传含PHP代码的jpg文件，配合文件包含漏洞执行

实测发现服务端对image/jpeg、image/png等类型检查存在差异。更安全的做法应该是结合文件头魔数校验，例如：

php复制$finfo = finfo_open(FILEINFO_MIME_TYPE);
$mime = finfo_file($finfo, $_FILES['file']['tmp_name']);
finfo_close($finfo);

3. 高级绕过技术剖析

3.1 黑名单绕过技巧

当服务端采用黑名单机制时，这些手法往往有效：

• 特殊后缀：.php5、.phtml、.phps
• 大小写混淆：.PhP、.pHp
• 双重扩展名：shell.jpg.php
• 空字节截断：shell.php%00.jpg（PHP<5.3.4）
• 点号结尾：shell.php.

iwebsec第五关演示了Apache解析特性：如果遇到不认识的后缀，会向前寻找可解析的扩展名。因此shell.php.xxx可能被当作PHP执行。

3.2 白名单验证突破

更安全的系统会采用白名单机制，此时需要组合利用其他漏洞：

1. %00截断（需特定PHP版本）

   code复制POST /upload.php HTTP/1.1
   Content-Disposition: form-data; name="file"; filename="shell.jpg%00.php"
   

2. .htaccess覆盖（需上传权限）

   htaccess复制AddType application/x-httpd-php .jpg
   

3. 文件包含组合拳

   • 先上传含马图片shell.jpg
   • 通过文件包含漏洞执行：?file=uploads/shell.jpg

3.3 内容检测绕过

当服务端检测文件内容时，这些方法值得尝试：

• 图片马制作：

  bash复制copy /b normal.jpg + shell.php webshell.jpg
  

• Exif注入：

  php复制exif_read_data('uploaded.jpg'); // 读取注释执行代码
  

• SVG XSS：

  xml复制<svg xmlns="http://www.w3.org/2000/svg" onload="alert(1)"/>
  

4. 防御方案深度优化

4.1 多维度校验策略

企业级防护应实施分层验证：

1. 扩展名校验：白名单机制（建议用pathinfo()而非explode()）
2. 文件头校验：检测文件真实类型

   php复制$signatures = [
       'FFD8FF' => 'image/jpeg',
       '89504E' => 'image/png'
   ];
   

3. 内容检测：使用GD库或Imagick重绘图片
4. 随机重命名：避免直接使用用户输入文件名
5. 权限控制：上传目录禁用脚本执行

4.2 安全配置示例

Nginx安全配置示例：

nginx复制location ^~ /uploads/ {
    deny all;
    location ~* \.(jpg|png|gif)$ {
        allow all;
        add_header Content-Type "image/jpeg";
    }
}

PHP.ini关键设置：

ini复制file_uploads = On
upload_max_filesize = 2M
upload_tmp_dir = /tmp
cgi.fix_pathinfo=0

5. 实战中的疑难问题

5.1 竞争条件攻击

某些系统先保存文件再校验，可利用时间差攻击：

1. 持续上传webshell
2. 同时暴力访问/uploads/tmp_[随机].php
3. 在删除前命中执行

解决方案：

• 先校验后移动文件
• 使用inotify监控上传目录

5.2 云存储场景防护

当使用OSS/S3存储时需注意：

• 不要使用预签名URL长期有效
• 设置存储桶策略禁止执行权限
• 开启WAF检测恶意文件

AWS S3策略示例：

json复制{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::mybucket/uploads/*",
      "Condition": {
        "StringLike": {
          "s3:ObjectTag/content-type": [
            "text/x-php*",
            "application/x-php*"
          ]
        }
      }
    }
  ]
}

6. 自动化检测方案

对于渗透测试人员，推荐这些检测工具：

1. Burp插件：

   • Upload Scanner
   • Turbo Intruder（用于竞争条件测试）

2. 自定义脚本：

   python复制def generate_payloads():
       extensions = ['php', 'php5', 'phtml']
       transforms = ['', '.jpg', '%00.jpg']
       return [f"shell.{ext}{tr}" for ext in extensions for tr in transforms]
   

3. YARA规则检测webshell：

   yara复制rule webshell {
       strings:
           $eval = "eval(" nocase
           $system = "system(" nocase
       condition:
           any of them
   }
   

在iwebsec通关过程中，我发现最有效的学习方式是先尝试手动绕过，再分析服务端源码，最后编写自动化检测脚本。比如第9关需要修改Content-Disposition中的filename字段，而第11关则需要利用Windows特性绕过路径检测。