严正声明：本文仅限于手艺讨论，严禁用于其他用途。

　　文件上传破绽是web平安中经常行使到的一种破绽形式。一些web应用程序中允许上传图片，文本或者其他资源到指定的位置，文件上传破绽就是行使这些可以上传的地方将恶意代码植入到服务器中，再通过url去接见以执行代码。但在一些平安性较高的web应用中，往往会有种种上传限制和过滤，导致我们无法上传特定的文件。本文将就此展开讨论，通过本文的学习你将领会到Web应用中文件上传的处置和验证发送流程，以及我们该若何绕过这些验证。

　　客户端验证是一种发生在输入被现实发送至服务器之前举行的验证。这类验证多数都是通过JavaScript，VBScript或HTML5来完成的。虽然，这对于用户来说响应速度更快体验也更好。但对于恶意攻击者来说，这些验证似乎就显得略为低级。

　　这种类型的绕过也异常简朴，我们可以关闭浏览器上的JavaScript或是在浏览器发出请求之后，在被发送至服务器之前来窜改该HTTP请求即可。

　　示例：

　　正如你所看到的，此JavaScript仅在请求被现实发送至服务器之前处置你的请求，以及检查你上传的文件扩展名是否为（jpg，jpeg，bmp，gif，png）。这样的话，我们就可以阻挡该请求并窜改文件内容（恶意代码），然后将图片扩展名更改为可执行文件的扩展名（如php，asp）。

　　如上图所示，我们试图上传一个直接的PHP文件，JavaScript阻止了我们的文件上传请求。

　　我们可以通过浏览器来上传一个正常的图片花样来绕过该验证，然后阻挡该请求再将其改回为php花样并将文件内容替换为我们的恶意代码，这样我们就能够乐成上传我们的恶意php剧本了。

　　顾名思义，就是在文件被上传到服务端的时刻，对于文件名的扩展名举行检查，若是不正当，则拒绝这次上传。检查扩展名是否正当有两种常用计谋，即黑名单和白名单计谋。

　　黑名单计谋，即文件扩展名在黑名单中的为不正当。白名单计谋，即文件扩展名不在白名单中的均为不正当。相对于黑名单，白名单计谋加倍平安的。通过限制上传类型为只有我们接受的类型，可以较好的保证平安，由于黑名单我们可以使用种种方法来举行注入和突破。

　　我们可以通过上传一些平时不怎么用的容易被人忽视的文件扩展名，来绕过这种类型的验证。

　　黑名单绕过

　　通过上传不受迎接的php扩展来绕过黑名单。例如：pht，phpt，phtml，php3，php4，php5，php6

　　白名单绕过

　　通过某种类型的技巧来绕过白名单，例如添加空字节注入（shell.php％00.gif），或使用双重扩展来上传文件（shell.jpg.php）。

　　此外，我们还可以实验扩展名巨细写来绕过，例如：pHp，Php，phP。

　　示例：

　　以上代码将会阻止除jpg，jpeg，gif，png扩展名以外的，所有其它文件类型上传。在本例中我们将实验绕过该检查，并在Web服务器上传一个php文件。

　　黑名单绕过

　　正如你所看到的，将php文件的后缀更改为.php5（Apache服务器会将其视为php文件执行）后，就可以乐成绕过该上传验证。

　　白名单绕过

　　如上图所示，我们使用了双重扩展名（shell.jpg.php）来绕过验证。

　　Content-Type（内容类型），一样平常是指网页中存在的Content-Type，用于界说网络文件的类型和网页的编码，决议文件接收方将以什么形式、什么编码读取这个文件。例如，一些图像文件上传通过检查文件的内容类型是否为图像类型来验证上传的图像。

　　该类型的绕过也异常简朴，只需将“Content-Type”的参数类型更改为“image/ *”即可，例如“image/png”, “image/jpeg”, “image/gif”。

　　示例：

　　以上代码会检查Content-Type header中的MIME类型，仅接受类型为image/jpeg, image/gif, image/png的文件上传。我们只需只需将“Content-Type”的参数类型更改为其可接受的类型即可绕过。

　　Content-Length验证是指服务器会对上传的文件内容长度举行检查，超出限制巨细的文件将不允许被上传。虽然这种类型的验证不是很受迎接，但在一些应用的文件上传中也时常能碰着。

　　针对这种类型的验证，我们可以通过上传一些异常短的恶意代码来绕过。上传文件的巨细取决于，Web服务器上的最大长度限制。我们可以使用差别巨细的文件来fuzzing上传程序，从而计算出它的限制局限。

　　示例：

　　以上代码将限制巨细跨越30字节的文件上传。我们可以通过上传一个30字节以内巨细的恶意payload文件来绕过它。

　　参考泉源

　　http://www.securityidiots.com/Web-Pentest/hacking-website-by-shell-uploading.html

　　http://www.net-informations.com/faq/asp/validation.htm

　　https://www.owasp.org/index.php/Unrestricted_File_Upload

　　http://www.sitepoint.com/mime-types-complete-list/

　　https://www.w3schools.com/php/php_file_upload.asp

　　https://stackoverflow.com/

　　*参考泉源：exploit-db，FB小编 secist 编译，转自FreeBuf