Confluence CVE-2023-22515漏洞复现

前言

对文件上传漏洞的一些总结，由于某游戏影响导致今天没什么状态。现已删除该游戏

正文

说明：

文件上传本不是漏洞，但是由于后端程序处理逻辑有问题导致发生文件上传漏洞。
上传文件是web脚本语言，服务器的web容器解释并执行了用户上传的脚本，导致代码执行。
上传文件是Flash的策略文件crossdomain.xml，可以控制Flash在域下的该行为。
上传文件是病毒，木马文件，用以诱骗优化或者管理员下载执行。

除此之外，还有一些不常见的利用方法。比如将上传文件作为一个入口，溢出服务器的后台处理程序，如图片解析模块；或者上传一个合法的文本文件
当是内容里面包含了PHP脚本，在通过本地文件包含漏洞或者解析漏洞使其解析。执行里面的内容

完成攻击具备的要求：

用户上传的文件能被容器解释执行，所以文件上传后所在的目录要是web容器所覆盖到的路径
其次，用户能够从web访问这个文件，如果文件上传，但用户无法通过web访问，或者无法得到web容器解释这个脚本，那么也不能称之为漏洞
最后，用户上传的文件若被安全检查，格式化，图片压缩等功能改变了内容，则也可能导致攻击不成功

一些常见的解析漏洞

从FCKEditor文件上传漏洞：
FCKEditor是一款非常流行的富文本编辑器，为了方便用户，它带有一个文件上传功能，但是这个功能却出过多次漏洞
FCKEditor针对ASP/PHP/JSP等环境都有对应的版本，以PHP为例，其文件上传功能在：
/FCKEditor/editor/filemanager/browser/default/browser.html

目录解析（6.0）
形式：www.xxx.com/xx.asp/xx.jpg
原理：服务器默认会把.asp,.asp目录下的文件都解析成asp文件

文件解析
形式：www.xx.com/xx.asp;.jpg
原理：服务器默认不解析;号后面的内容，因此xx.asp;.jpg便被解析成asp文件了

解析文件类型：
IIS6.0默认的可执行文件除了asp还包含这三种：asa,cer,cdx
/test.asa
/test.cer
/test.cdx

apache解析漏洞
原理：Apache解析文件的规则是从右到左开始判断解析，如果后缀名为不可识别文件解析，就再往左判断。比如：
test.php.qwe.asd .qwe和.asd这两种后缀是apache不可识别解析，apache就会把kd.php.asa.wrwq 解析为：kd.php

漏洞形式：www.xx.com/xx.php.php123
其余问题导致漏洞：
如果在Apache的conf里面有这样一行配置AddHandler php5-script.php 这时只要文件名包含.php及时文件名是test2.php.jpg也会按照php
来执行

如果在Apache的conf里面有这样一行配置AddType application/x-httpd-php.jpg
及时后缀名是.jpg一样能以php方式执行

修复方案
apache配置文件，禁止.php.这样的文件执行，配置文件里面加入
用伪静态能解决这个问题，重写类似于.php.*这类文件，打开apache的httpd.conf找到LoadModule rewrite_module modules/mod_rewrite.so
把#号去掉，重启apache，在网站目录下建立.htaccess文件

nginx解析漏洞
原理：Nginx默认是以CGI的方式支持PHP解析的，普遍的做法是在Nginx配置文件中通过正则设置SCRIPT_FILENAME。当访问
www.xxx.com/phpinfo.jpg/1..php这个url的时，$fastcgi_script_name会被设置为phpinfo.jpg/1.php,然后构造成SCRIPT_FILENAME传递给PHP
CGI，但是PHP为什么会接受这样的参数，并将phpinfo.jpg作为php文件解析呢？这就要说到fix_pathinfo这个选项了。如果开启了这个选项，那么
就会触发PHP如下的逻辑：
php会认为SCRIPT_FILENAME是phpinfo.jpg,而1.php是PATH_INFO，所以就会将phpinfo.jpg作为php文件来解析了

漏洞形式
www.xxx.com/UploadFiles/image/1.jpg/x.php
www.xxx.com/UploadFiles/image/1.jpg%00.php
www.xxx.com/UploadFiles/image/1.jpg/%20\0.php

test.jpg里面的内容为：<?php xxxx;?>
另外一种手法：上传一个名字为test.jpg然后访问test.jpg/.php在这个目录下就会生成一句话木马shell.php

IIS7.5解析漏洞
IIS7.5的漏洞与nginx类似，都是由于php配置文件中，开启了cgi.fix_pathinfo,而这并不是nginx或者iis7.5本身的漏洞
上传不符合windows文件名规则的文件名：
test.asa
test.asp(空格)
test.php:1.jpg
test.php::$DATA
会被windows系统自动去掉不符合规则符号后面的内容

绕过文件上传功能检查

一般都是通过文件名后缀检查。但是在某些时候攻击者手动修改了上传过程的POST包，在文件名后添加了一个%00字节额，则可以截断某些函数对
文件名的判断。因为在许多语言的函数中，比如在C，PHP等语言的常用字符串处理函数中，0x00被认为是终止符。受此影响的环境有web应用和一
些服务器。比如应用原本只允许上传jpg图片，那么可以构造文件名为xxx.php[\0].jpg,其中[\0]为十六进制的0x00字符，.jpg绕过了应用的上传文件
类判断，但对于服务器来说，此文件因为0x00字符截断的关闭，最终变成了xxx.php。

客户端效验
一般都是在网页上写一段javascript脚本，效验文件上传的后缀名，有白名单形式也有黑名单形式。
判断方式：
在浏览加载文件，但还未点击上传按钮时便弹出对话框，内容如：只允许上传.jpg/.jpeg/.png后缀名的文件，而此时还没发送数据包。

客户端绕过
利用burp抓包改包，先上传一个gif类型的木马，然后通过burp将其改为asp/php/jsp后缀名即可

服务端效验
content-type字段效验
绕过方式：抓包将content-type字段改为image/gif

文件头效验
可以通过自己写正则匹配，判断文件头内容是否符合要求，这里举几个常见的文件头对应关系：
（1）  .JPEG;.JPE;.JPG，”JPGGraphic File”
（2）  .gif，”GIF 89A”
（3）  .zip，”Zip Compressed”
（4）  .doc;.xls;.xlt;.ppt;.apr，”MS Compound Document v1 or Lotus Approach APRfile”


文件头绕过
在木马内容基础上再加了一些文件信息，有点像下面的结构
或者使用copy命令将需要对应文件头的例如图片和一句话木马合为一个在上传
copy xx.jpg/b+dd.php/a xd.php 
GIF9a<?php phpinfo();?>

MIME验证
MIME验证

MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名，以及一些媒体文件打开方式。 

它是一个互联网标准，扩展了电子邮件标准，使其能够支持： 

非ASCII字符文本；非文本格式附件（二进制、声音、图像等）；由多部分（multiple parts）组成的消息体；包含非ASCII字符的头信息（Header information）。 

这个标准被定义在RFC 2045、RFC 2046、RFC 2047、RFC 2048、RFC 2049等RFC中。 MIME改善了由RFC 822转变而来的RFC 2822，这些旧标准规定电子邮件标准并不允许在邮件消息中使用7位ASCII字符集以外的字符。正因如此，一些非英语字符消息和二进制文件，图像，声音等非文字消息原本都不能在电子邮件中传输(MIME可以)。MIME规定了用于表示各种各样的数据类型的符号化方法。 此外，在万维网中使用的HTTP协议中也使用了MIME的框架，标准被扩展为互联网媒体类型。

MIME的作用
使客户端软件区分不同种类的数据，例如web浏览器就是通过MIME类型来判断文件是GIF图片，还是可打印的PostScript文件。 Web服务器使用MIME来说明发送数据的种类，Web客户端使用MIME来说明希望接收到的数据种类。
一个普通的文本邮件的信息包含一个头部分（To: From: Subject: 等等）和一个体部分（Hello Mr.,等等）。在一个符合MIME的信息中，也包含一个信息头并不奇怪，邮件的各个部分叫做MIME段，每段前也缀以一个特别的头。MIME邮件只是基于RFC 822邮件的一个扩展，然而它有着自己的RFC规范集。
头字段：MIME头根据在邮件包中的位置，大体上分为MIME信息头和MIME段头。（MIME信息头指整个邮件的头，而MIME段头只每个MIME段的头。）

MIME验证
MIME验证

MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型，当该扩展名文件被访问的时候，浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名，以及一些媒体文件打开方式。 

它是一个互联网标准，扩展了电子邮件标准，使其能够支持： 

非ASCII字符文本；非文本格式附件（二进制、声音、图像等）；由多部分（multiple parts）组成的消息体；包含非ASCII字符的头信息（Header information）。 

这个标准被定义在RFC 2045、RFC 2046、RFC 2047、RFC 2048、RFC 2049等RFC中。 MIME改善了由RFC 822转变而来的RFC 2822，这些旧标准规定电子邮件标准并不允许在邮件消息中使用7位ASCII字符集以外的字符。正因如此，一些非英语字符消息和二进制文件，图像，声音等非文字消息原本都不能在电子邮件中传输(MIME可以)。MIME规定了用于表示各种各样的数据类型的符号化方法。 此外，在万维网中使用的HTTP协议中也使用了MIME的框架，标准被扩展为互联网媒体类型。

MIME的作用
使客户端软件区分不同种类的数据，例如web浏览器就是通过MIME类型来判断文件是GIF图片，还是可打印的PostScript文件。 Web服务器使用MIME来说明发送数据的种类，Web客户端使用MIME来说明希望接收到的数据种类。
一个普通的文本邮件的信息包含一个头部分（To: From: Subject: 等等）和一个体部分（Hello Mr.,等等）。在一个符合MIME的信息中，也包含一个信息头并不奇怪，邮件的各个部分叫做MIME段，每段前也缀以一个特别的头。MIME邮件只是基于RFC 822邮件的一个扩展，然而它有着自己的RFC规范集。
头字段：MIME头根据在邮件包中的位置，大体上分为MIME信息头和MIME段头。（MIME信息头指整个邮件的头，而MIME段头只每个MIME段的头。）

mime类型
https://www.bugbank.cn/images/article/20170804/ee885613e9382e1bc8f6b88e1ffa96ab.jpg

mimetype判断
一般先判断内容的前十个字节，来判断文件类型，然后再判断后缀名

文件名扩展绕过
前提：黑名单效验
黑名单检测：一般有个专门的blacklist文件，里面会包含常见的危险脚本文件

绕过方法：
找黑名单扩展名的漏网之鱼 - 比如asa和cer之类的
可能存在大小写绕过漏洞 - 比如aSp和pHp之类

能被解析的文件名扩展名列表
jsp jspx jspf
asp asa cer aspx

配合文件包含漏洞
前提：存在文件包含漏洞
绕过方式：
（1）先上传一个内容为木马的txt后缀文件，因为后缀名的关系没有检验内容；
（2）然后再上传一个.php的文件，内容为<?php Include(“上传的txt文件路径”);?>
此时，这个php文件就会去引用txt文件的内容，从而绕过校验，下面列举包含的语法：
（2）linux下后缀名大小写
在linux下，如果上传php不被解析，可以试试上传pHp后缀的文件名。
如上传一句话图片木马，马子未被执行，可以使用包含漏洞，调出一句话图片木马，代码被执行。

WAF绕过

垃圾数据
有些主机WAF软件为了不影响web服务器的性能，会对校验的用户数据设置大小上限，比如1M。此种情况可以构造一个大文件，前面1M的内容为垃圾内容，后面才是真正的木马内容，便可以绕过WAF对文件内容的校验
https://www.bugbank.cn/images/article/20170804/219cdfec2d4ebd194e20c4a1d4077bec.jpg

POST/GET

有些WAF的规则是：如果数据包为POST类型，则校验数据包内容。

此种情况可以上传一个POST型的数据包，抓包将POST改为GET。

修改数据包里面的一些参数，如这篇文章：https://422926799.github.io/2018/08/06/%E7%BB%95%E8%BF%87%E7%BD%91%E7%AB%99%E9%98%B2%E7%81%AB%E5%A2%99%E4%B8%8A%E4%BC%A0/

修复方法：

1、文件上传的目录设置为不可执行

2、判断文件类型：强烈推荐白名单方式。此外，对于图片的处理，可以使用压缩函数或者resize函数，在处理图片的同时破坏图片中可能包含的HTML代码。

3、使用随机数改写文件名和文件路径：一个是上传后无法访问；再来就是像shell.php.rar.rar和crossdomain.xml这种文件，都将因为重命名而无法攻击。

4、单独设置文件服务器的域名：由于浏览器同源策略的关系，一系列客户端攻击将失效，比如上传crossdomain.xml、上传包含Javascript的XSS利用等问题将得到解决。

生成针对黑名单检测的后缀名字典进行爆破：构造优质上传漏洞Fuzz字典 - FreeBuf互联网安全新媒体平台

那里存在文件上传漏洞

服务器配置不当
开源编辑器的上传漏洞
本地文件上传限制被绕过
过滤不严或被绕过
文件解析漏洞导致文件执行
文件路径截断

靶场测试;
DVWA文件上传高级+本地文件包含
首先看一波文件上传高级的代码

<?php

if( isset( $_POST[ 'Upload' ] ) ) { /*判断是否存在Upload这个POST请求变量*/
    // Where are we going to be writing to? 
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; /*上传成功后的路径*/
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );/* 函数返回路径中的文件名部分*/

    // File information 
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); /*strrpos获取指定字符串最后出现的地方的位置，获取后缀名*/
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image? 
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) && /*判断是否为jpg或jpeg或png的后缀名和文件大小小于100000和获取图像大小，getimagesize()获取图像大小随便还检查了文件头部，如果文件不为图像返回一个False*/
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder? 
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) { /*move_upload_file()如果这是一个合法的文件将其移到新的位置，这里的判断是如果文件不合法*/
            // No 
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes! 
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file 
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?> 

使用copy命令将一张图片和马子合在一起

本地包含

http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=file:///I:\phpstudy\PHPTutorial\WWW\DVWA-master\hackable\uploads\bc.jpg

转载请声明：转自422926799.github.io

---

转载请注明来源，欢迎对文章中的引用来源进行考证，欢迎指出任何有错误或不够清晰的表达。