上传文件被当作PHP解析可致远程代码执行,常见路径有五:一、绕过后缀检查上传含代码的伪装文件;二、Apache下用.htaccess强制解析;三、Nginx CVE-2013-4547路径解析漏洞;四、PHAR反序列化利用;五、IIS短文件名绕过。
如果上传的文件被服务器当作PHP脚本解析并执行,则可能造成远程代码执行风险。以下是实现该行为的常见技术路径:
一、上传含PHP代码的文件并绕过扩展名检查
部分应用仅校验文件后缀名,未验证文件内容或MIME类型,攻击者可将PHP代码保存为看似合法的图片文件(如.jpg),再通过服务端配置缺陷触发解析。
1、使用文本编辑器创建文件,写入,保存为shell.jpg。
2、在上传表单中选择该文件,同时使用抓包工具(如Burp Suite)拦截请求。
立即学习“PHP免费学习笔记(深入)”;
3、修改HTTP请求中Content-Disposition字段的filename值,将shell.jpg改为shell.php。
4、若服务端仅依赖前端或简单后缀白名单,该请求可能成功上传并生成可访问的PHP文件。
二、利用Apache解析漏洞(.htaccess覆盖)
当目标使用Apache且允许用户上传.htaccess文件时,可通过自定义规则强制特定扩展名按PHP模块解析。
1、构造内容为AddType application/x-httpd-php .jpg的.htaccess文件。
2、上传该文件至Web可写目录(如/uploads/)。
3、上传另一张含PHP代码的图片文件,命名为test.jpg。
4、访问http://target.com/uploads/test.jpg,Apache将按PHP方式解析并执行其中代码。
三、利用Nginx文件名逻辑解析漏洞(CVE-2013-4547)
Nginx在处理带空格和斜杠的文件路径时存在解析歧义,可使非PHP文件被当作PHP执行。
1、准备含PHP代码的文件,命名为shell.jpg。
2、上传后,构造URL访问:http://target.com/uploads/shell.jpg%20/1.php。
采用 php+mysql 数据库方式运行的强大网上商店系统,执行效率高速度快,支持多语言,模板和代码分离,轻松创建属于自己的个性化用户界面 v3.5更新: 1).进一步静态化了活动商品. 2).提供了一些重要UFT-8转换文件 3).修复了除了网银在线支付其它支付显示错误的问题. 4).修改了LOGO广告管理,增加LOGO链接后主页LOGO路径错误的问题 5).修改了公告无法发布的问题,可能是打压
3、Nginx将忽略%20/1.php部分,但将shell.jpg交由后端PHP-FPM处理。
4、PHP-FPM默认不校验原始请求路径,直接执行shell.jpg中的PHP代码。
四、上传用户可控的PHAR文件并触发反序列化
当应用存在未过滤的反序列化点且启用phar://协议时,上传恶意PHAR可间接执行代码。
1、使用PHP构建PHAR文件,在stub中嵌入__HALT_COMPILER();,并在meta-data中注入恶意反序列化对象。
2、设置PHAR文件后缀为.jpg,并禁用签名以绕过校验。
3、上传该文件至服务器,获取其可访问路径(如/uploads/malicious.jpg)。
4、在存在unserialize()调用的功能点中,传入phar://./uploads/malicious.jpg作为参数。
5、PHP将解析PHAR并触发反序列化链中的__destruct()等魔术方法。
五、利用IIS短文件名特性结合解析顺序
IIS在启用短文件名功能时,会为长文件名生成8.3格式别名,配合特定解析顺序可导致PHP文件被误识别为静态资源后仍被解析。
1、上传shell.php,确认其短文件名为shell~1.php。
2、尝试访问http://target.com/uploads/shell~1.php,观察是否返回PHP执行结果。
3、若IIS配置将.php映射至PHP-CGI且未禁用短名,该请求将直接交由PHP引擎处理。
4、即使上传目录无直接执行权限,短文件名仍可能绕过路径级限制。
