想要挖掘一個漏洞我們首先就要知道這個漏洞是如何產(chǎn)生的。

1.漏洞產(chǎn)生原理

沒有對用戶上傳的文件做校驗和沒有控制服務(wù)器對上傳目錄的解析和執(zhí)行行為，導(dǎo)致具有危害的腳本被保存到服務(wù)器上，錯誤的執(zhí)行了這些有危害的腳本

2.漏洞利用

找到一個可以上傳文件的入口成功繞過就可以上傳腳本文件，然后訪問腳本文件來執(zhí)行腳本，從而達到控制服務(wù)器的目的。

如何繞過：

可能存在大小寫繞過——比如 aSp 和 pHp 之類

雙寫php——比如pphphp之類，適用于過濾腳本沒有循環(huán)執(zhí)行的情況

找黑名單擴展名的漏網(wǎng)之魚 -——比如 asa 和 cer jsp jspx jspf asp asa cer aspx php php2 php3 php4 php5 phtml exe 之類

3.靶場案例講解

在這里給大家推薦：http://114.116.45.110/里面有各種靶場，不想自己搭建的小伙伴可以使用一下。這里使用Upload-labs靶場pass-01(第一關(guān))講解

首先上傳一個后綴php的文件查看有無過濾，據(jù)回顯發(fā)現(xiàn)有js前端校驗白名單，只允許上傳后綴為.jpg\.png\.gif的文件。

這個時候上傳一個后綴為.jpg的文件，文件內(nèi)容為一句話木馬<?php @eval($_POST['attack']);?>，使用burp抓包并修改文件后綴為php，即可上傳成功

下面是Burp抓包修改

上傳成功之后右鍵圖片獲取圖片地址

然后打開工具蟻劍( https://github.com/AntSwordProject/antSword)，點擊添加使用一句話木馬連接

連接成功

4.危害

攻擊者通過上傳和訪問腳本文件的方式來執(zhí)行該腳本文件，從而達到控制服務(wù)器的目的。

5.防護

前端校驗：前端頁面在提交上傳文件時，增加文件類型的校驗，如果不是指定的文件類型，就拒絕提交。

后端黑白名單校驗：在文件被上傳到后端服務(wù)器的時候，先對文件的擴展名進行校驗，就是設(shè)置黑白名單。

防止服務(wù)器對上傳的文件意外地執(zhí)行：我們可以設(shè)置服務(wù)器對特定目錄的行為來避免漏洞的發(fā)生。比如將用戶上傳的文件保存到下載功能的目錄下。

修改用戶上傳的文件名：當(dāng)文件上傳到服務(wù)器之后，服務(wù)器可以對文件進行隨機重命名，然后再保存到上傳目錄中，這樣黑客就無法找到他上傳的腳本。