ToB企服应用市场:ToB评测及商务社交产业平台

标题: EdgeOne安全专项实践：上传文件毛病攻击详解与防范步伐 [打印本页]

---

作者: 莫张周刘王    时间: 2024-7-30 20:23
标题: EdgeOne安全专项实践：上传文件毛病攻击详解与防范步伐
前言

本日，我们将深入探究上传文件毛病攻击，这部分内容是EdgeOne专项实践篇的一部分。在本章中，我们不会涉及文件毛病的含义、原理或站点配置等基础教程，如果你对这些内容感爱好，可以参考这篇文章：探索网络安全：浅析文件上传毛病
在本段之后将不再详述怎样购买套餐或配置站点等基础应用。而当我们解说完攻击之后，我还会分享一些防范步伐，以保护您的服务器免受攻击。因此，本文的焦点依然集中在腾讯云的EdgeOne上。

靶场搭建

当我们考虑到攻击他人服务器属于违法行为时，我们必要思索怎样更好地保护我们自己的服务器。为了测试和学习，我们可以搭建一个专门的靶场来模拟文件上传毛病攻击。以下是我搭建靶场的环境和一些参考资料，供大家学习和参考，也可以自行探索相关内容。
使用腾讯云轻量应用服务器的Linux版本时，考虑到环境要求较为严格，自行搭建大概存在诸多错误。可以简单地通过拉取他人封装好的docker镜像来快速摆设。

docker pull c0ny1/upload-labs
docker run -d -p 8289:80 c0ny1/upload-labs

在启动之后，请务必前往腾讯云控制台举行防火墙规则的配置，否则大概无法正常访问。你可以使用自己配置的IP地址和端口号替换访问地址：http://ip:8289。

系统可以正常启动。然而，当实验上传文件时，系统会提示找不到所需的upload目次。为了解决这个问题，必要通过docker容器控制台手动新增一个upload目次。

进去之后执行下下令：

mkdir upload
chmod 777 upload

当下统统运行正常，靶场已乐成搭建！请牢记，在学习完成后，请勿攻击他人的服务器。这一点至关重要，切记、切记、切记。
文件上传毛病

靶场共设有20个关卡，每一个关卡都代表一个不同的毛病案例。在这里，我将选择几个典范的案例与大家分享和学习。那么，我们现在就开始吧！
upload-labs靶场攻略

为了制止长篇文本对大家造成干扰，我已经预备了一张简明的流程图，帮助大家快速明白。请大家先看一下这张图，相信你们会觉得统统都变得非常简单。现在我们预备出发了，请系好安全带。

接下来，我们的所有任务都依赖于上传一个或多个文件来访问服务器配置信息。攻击脚本的设计也极其简单，其目标同样明确：只需通过其他途径访问我们的攻击脚本并乐成执行即可。

1. [/code]当我们谈论获取信息的用处时，是否可以用于攻击？实际上，我们的重要目的是执行脚本。对于脚本的内容并不重要，关键是可以或许顺遂执行。你可以随意替换脚本的语句，例如像蚁剑的一句话脚原来获取shell。这里只是为了演示攻击的目的而已。
2. 下面我们开始解说一下怎样使用靶场，请留意每个页面都配备了查察源码和查察提示的功能。如果查察源码后仍不清楚怎样举行攻击，可以根据提示逐步闯关。那么，让我们开始吧。
3. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221347016-907960302.png[/img][/align]
4. [size=4]前端页面校验毛病[/size]
6. 我们先看下源码：
7. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221353877-1090662386.png[/img][/align]
8. 当我们审视这段代码时，可以留意到，这里仅仅是在前端举行了一个基本的后缀校验。
9. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221359575-1802257516.png[/img][/align]
10. 那么，我们可以选择在不依赖于工具的情况下，通过修改前端代码以移除这一验证步调来实现上传，或者手动修改请求以将文件后缀改为.php的方式来举行。我们可以先从简单的方法开始。
11. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221407387-329155596.png[/img][/align]
12. 接下来，举行删除操纵并保存文件，随后再次上传我们的脚本文件。
13. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221417641-77755660.png[/img][/align]
14. 请保存更改后，确保革新页面，以便接口可以或许辨认我们上传的以.php结尾的文件。
15. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221425162-843125002.png[/img][/align]
16. 由于这并非一张图片，因此它无法体现。因此，请右键复制图片路径以查察。操纵已乐成执行。
17. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221430736-1300848780.png[/img][/align]
18. [size=4]后端校验文件类型毛病[/size]
20. 固然，即使是最差劲的公司也不能仅仅依赖前端举行校验，因此第二个阶段就开始涉及后端操纵。现在我们继续查察源代码；
21. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221439914-252280479.png[/img][/align]
22. 后端的重要功能是获取上传文件的类型。要修改文件类型，我们必要使用Burp Suite工具举行拦截。仅仅改变文件后缀是不够的，由于这里传输的文件类型是通过Content-Type标头传递的，详细来说是application/octet-stream。
23. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221445567-683861971.png[/img][/align]
24. 当系统后台基于文件类型举行判断时，我们只需调整文件类型以符合后台校验的要求，详细如下所示：
25. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221451363-3586552.png[/img][/align]
26. 不出所料，我们依然会发现上传乐成的情况。
27. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221458012-1012224942.png[/img][/align]
28. 剩下的步调是右键点击打开图像文件的地址。在接下来的关卡中，我们不再必要演示查察PHP信息，只需通过验证即可确保我们的代码乐成运行。
29. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221507767-1303364981.png[/img][/align]
30. [size=4]老版本文件后缀[/size]
32. 这一关，如果发现无论怎样都无法有效举行校验，那么最好的做法是直接限制可上传文件的后缀名。然而，单纯依赖文件后缀名来举行限制也存在潜在的安全隐患。让我们深入分析一下这个问题。
33. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221514212-542550230.png[/img][/align]
34. 在早期的Web开发阶段，PHP文件常以.php3结尾。这是由于旧版PHP仅支持.php3后缀，而不直接支持.php。只管现代PHP版本不再逼迫要求特定的文件后缀，仍有一些网站由于历史或兼容性原因仍在使用.php3后缀。为了支持这些老版本网站，Apache默认配置支持剖析.php3后缀的PHP文件。
35. 现在问题就变得非常简单了，我们只需上传那些不在后缀限制数组中的文件，然后统统搞定。
36. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221521554-322184968.png[/img][/align]
37. [size=4]利用Apache配置文件[/size]
39. 当谈到上述情况时，一些人大概已经认识到，不再可以随意使用简单的文件后缀名。我必要全面审查并加强这方面的限制，如许我们就进入了第四阶段。现在让我们来仔细查察源代码。
40. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221530466-548688493.png[/img][/align]
41. 固然，我们不必局限于上传 PHP 文件。这次，我们可以利用另一个配置文件的毛病举行攻击。
42. .htaccess 是一个用于配置 Apache Web 服务器的配置文件，其名称是 "hypertext access" 的缩写。它允许网站管理员在没有修改主配置文件（如 httpd.conf）的情况下，通过在网站根目次或特定目次下创建 .htaccess 文件来举行配置和控制网站的行为。
43. .htaccess 文件可以包含各种指令和规则，用于控制网站的访问权限、重定向 URL、设置自定义错误页面、启用压缩、禁止目次列表、限制访问速率等等。通过 .htaccess 文件，网站管理员可以在不必要服务器级别访问的情况下，实现对网站的机动配置和管理。
44. 必要留意的是，.htaccess 文件只对 Apache Web 服务器有效，而且其配置大概会影响网站的性能，特别是如果包含复杂的规则或必要频仍读取文件时。
45. 那我们先写脚本后传文件。
46. [code]<FilesMatch "loudong.jpg">
47. SetHandler application/x-httpd-php
48. </FilesMatch>

复制代码

这句话的意思就是当访问到名为 loudong.jpg 的文件时，Apache Web 服务器会将其看成 PHP 脚原来处理惩罚，而不是简单地作为静态文件直接返回给用户。
继续上传jpg图片，只管这个文件实际上是一个伪装成图片的攻击脚本。

大小写毛病

当人员发现毛病后，简单地添加一个限制即可解决问题。因此，第五关的解决方案是直接禁止上传.htaccess文件。

固然，他未能察觉到另一个问题。再次查察源代码。

文件名都是小写的，但是我们必要确认一下，PHP是否支持大写文件名。我们可以试一试直接拦截请求并修改文件名来测试。

空格毛病

在检测大小写后，颠末详细查阅源代码后发现，没有对空格举行限制。如果确实没有空格限制，那么文件后缀的限制也将失效。

我们使用Burp Suite拦截请求举行发送。我在文件名后面自行添加了一个空格，由于默认情况下并没有文件名。

最终乐成上传文件。关于绕过文件后缀检查的方法还有很多，我们不打算逐一列举。问题重要在于剖析代码时的不严谨，通过利用其中的某个毛病直接上传我们的脚本文件即可。
文件包含毛病

当这张图片不再只是简单的视觉元素时，它前面看起来大概十分寻常，然而实际上它的后半部分包含了一段代码。

这一关的源码看下

当我们只读取前两个字节时，通常是为了获取图片文件的文件头信息，这些信息包含了关于文件类型和格式的重要数据。接下来，我们可以打开这三个图片文件，使用记事本编辑，来探索它们是否有共同的特性或属性。

这一部分还有另一个必要留意的地方，那就是文件包含毛病。你知道文件包含毛病指的是什么吗？

1. [/code]由于直接使用 include 函数并且未对 $file 参数举行充分的过滤或验证，攻击者可以构造恶意请求，包含任意文件，甚至是远程的恶意文件。那么我们上传文件后，将文件地址拿到，然后通过这个文件包含毛病试一下，结果体现确实存在此风险。
2. [align=center][img]https://img2024.cnblogs.com/blog/1423484/202407/1423484-20240725221644350-1307201132.png[/img][/align]
3. [size=4]二次渲染绕过[/size]
5. 这一关源代码很多，因此我决定仅复制并分享关键代码，供大家参考。
6. [code]//使用上传的图片生成新的图片
7. $im = imagecreatefromjpeg($target_path);
9. //使用上传的图片生成新的图片
10. $im = imagecreatefrompng($target_path);
12. //使用上传的图片生成新的图片
13. $im = imagecreatefromgif($target_path);

复制代码

这一步调的重要目的是确定用户上传的图片格式，并重新生成新的图片。在这个过程中必要特别关注 GIF 图片的处理惩罚。GIF 图片在重新渲染后改动很小，重要原因是其压缩算法的优化和格式的固定限制，使得大部分修改只影响到少量的数据部分，而不会对整个图像文件造成大幅度的变革。
我们必要对流程举行改进：首先，请确保不随意修改图片文件，而是先上传并下载图片，再与本地图片举行对比。辨认未变革的部分，然后逐一复制粘贴代码，如有错误则调整位置。

最后我们在这里改下：

上传后继续使用文件包含毛病：

条件并发竞争

在这个阶段，仅仅是将上传的文件保存下来，然后举行校验、重命名并移动文件。如果校验失败，则会将文件删除。外貌看起来好像没有问题，但实际上存在许多潜在的毛病。

首先，未举行文件类型验证便举行了保存操纵，随后才举行验证并删除。这个毛病为我们提供了攻击服务器的入口。我们可以利用Burp Suite拦截请求并发起集中攻击。只要在删除操纵执行之前，我就可以或许访问到我上传的文件，便能执行脚本。现在开始举措。

当我们乐成拦截了请求后，接下来的步调是配置并发请求的开发工作。我们计划从默认的10个并发开始举行攻击。

观察这里的攻击效果，只管它们通常会被及时扫除，但只要我们乐成访问其中一个，攻击就可以算是乐成的。让我们开始吧。

解说完了怎样利用文件上传攻击服务器后，接下来的重点在于明白怎样有效防御这些攻击。在服务器端实施良好的防护步伐至关重要，由于防守胜过进攻。接下来，我们将根据上述经典案例来探究怎样加强服务器的安全防护。
EdgeOne防护步伐

假设我们无法对程序员编写的代码举行检查，或者我们本身没有举行代码审计的能力，那么我们只能依赖外部保护步伐。在这种情况下，本日仍然建议接纳EdgeOne来解决这些问题。为了让大家更清楚地明白，我也简单绘制了一张图作为参考，看完图后问题就变得非常简单了，就像在架构中使用一个可插拔的中间件一样轻松应用即可。

文件毛病防护手段

在前面我们详细讨论了多种攻击方法，现在让我们综述一下应该从哪些方面举行防护：

• 未限制文件类型：允许上传任何类型的文件，包括可执行文件。
  
• 未举行文件内容检查：未检查文件内容是否包含恶意代码。
  
• 未限制文件上传频率：刚才我们演示的时候，可以看到通过频仍上传文件到达条件竞争的状态。
  

除了前面提到的步伐外，还有一个必要留意的地方，即文件大小的限制。考虑到我们拥有的是自己的服务器资源，我们可以制止不必要的流量斲丧。因此，我们也必要在这方面举行得当的控制。
接下来，我们将逐一实施这些防护步伐，你将会看到，通过最小的调整，我们可以或许到达最佳的安全效果。
文件敏感后缀检查

如果你打算上传Webshell，文件内容肯定包含脚本内容。因此，我们必要确认EdgeOne是否提供相关的检查和校验功能。一旦你购买了EdgeOne的标准版，无需举行任何修改，即可立即上传文件并检查其是否可以或许有效拦截。

在一般情况下，EdgeOne应该会拦截这类请求，但我们必要再次查察样本日志，确认是否确实有请求未被拦截。

当我们留意到这一点时，我们发现请求不但被捕获，还被辨以为防护规则，但实际上处于观察状态而非直接拦截状态。这一点很重要，由于默认情况下，EdgeOne仅观察并不会直接拦截请求。我们必要进一步查察这个规则的ID，了解其详细功能。

首先进到自己配置的站点后，找到安全防护->web防护->托管规则->筛选规则id

这个问题相当繁琐，由于在样本日志中，当前规则id的详细限制并不直接体现出来，必要我们自己去查找。不过，最终我们确实可以找到这些信息。通过这种方式，我们可以辨认文件后缀，如许一来，前端和后端在处理惩罚文件后缀时就无需编写大量的限制代码了。
事实上，前几个案例中的文件上传毛病重要都是由于文件后缀问题导致的。EdgeOne技术可以或许通过一种简单的方法解决程序员代码不严谨的问题。
当涉及到相关的防护请求时，请记住关闭全局观察模式，如许可以让您单独配置每个规则的拦截方式。因此，现在我们将全局观察模式关闭。

那么让我们再次发起请求，以确认是否可以或许有效拦截这些请求。

难道我们表演翻车了吗？怎么照旧观察模式，我本以为我们应该处于拦截请求的状态，而不是仅仅处于观察模式。这涉及到一个防护等级的问题，我们必要检视一下，默认设置大概方向宽松了一些。

那么我们必要调整防护等级，以确保它可以或许拦截那些不应该直接访问后台的请求。然而，请留意，我们不能单独设置一个规则，如果必要举行设置，也必须按照父类规则的方式举行设置。让我们仔细查察一下：

固然！那么我们现在可以实验上传一个文件，以便查察结果怎样。

在实际应用中效果非常显着。不再演示剩余的各种奇葩敏感后缀，由于最终的拦截结果都是一致的。对于企业或个人而言，只需简单操纵两次按钮开关，使用体验也非常精彩。
伪文件代码注入检查

当我们试图规避后缀检查时，我们制作了一个文件，厥后缀名为.jpg，但实际上是一个伪装的图片文件。让我们首先验证一下这个简单的伪装文件是否有效。

当文件内容实际上是PHP脚本时，只管我们的文件后缀被设置为.jpg并不属于敏感后缀文件，因此大概可以规避EdgeOne的后缀规则检查。因此，我们可以实验上传并查察是否可以或许乐成执行。

实验并未取得乐成。那么我们来看看他被谁人安全防护规则拦截住了。

当我们乐成绕过了敏感后缀的防护检查，那么现在必要进一步分析的是，这是哪一个详细的规则被规避了。

这防护步伐真的蛮不错，php脚本已经被拦截了。
那么，当我们测试更高级的伪装文件时，比如在一个看似正常的图片文件中嵌入代码脚本，防护规则是否可以或许检测到它们呢？在我们探究绕过图片二次渲染的方法时，我们举行了实验，测试了在 GIF 文件中注入 PHP 代码的情况，详细如下图所示：

固然，我们可以看看是否有办法绕过这个防护步伐呢？不过看来防护步伐照旧可以或许有效阻止的。

看看这些样本日志，由于它们都属于同一个防护规则ID，我们就不再重复查察了，而是继续探索其他测试手段。

除了上述代码注入来防止图片渲染外，如果没有举行二次渲染，另一种方法是直接在图片末尾添加内容。这种操纵简单，接下来我们看看它是否能提供额外的防护效果。

演示虽然出了点问题，但不要紧。如果防护不住，也不要紧，我们还可以联系腾讯客服，赶紧反馈情况。我会把所有的测试文件和网站链接都交给他们，让他们测试一下，找出问题所在。

颠末长时间的深入沟通和分析，我们最终乐成帮助他们发现了一个问题，剩下的就交给他们自行解决了。

这里为什么没有演示条件竞争防护呢？难道不应该增加一个上传频率规则吗？我不确定大家是否还记得，条件竞争攻击是通过上传一个PHP脚本，然后在检验通过的短暂时间窗口内发动攻击的。首先，PHP脚本必须乐成上传，但EdgeOne已经拦截了这种脚本，如许怎么能有效地实施后续的上传速率限制呢？
文件上传速率限制

之前我们讨论过制止演示条件竞争攻击，但现在为什么又有上传速率限制呢？这个限制是为了防止频仍的文件上传导致服务器网络IO异常拥堵。这其实涉及到两个问题：一方面，我们不是在谈论通过脚本攻击服务器，而是用户大概通过频仍上传文件来占用服务器资源。只要上传充足频仍，就有大概使服务器无法相应其他用户的访问，进而导致网站宕机的情况发生。这种情况非常严重，影响大概相当恶劣。
话不多说，让我们来举行演示并设置一些限制。由于上传脚本文件会被拦截，因此我们将上传一个正常的图片来举行演示。同时，我们将使用Burp Suite来频仍测试文件上传攻击服务器，详细如图所示：

然后，我们直接发起并发请求。我们计划按照以下几个测试并发规则举行测试：每秒5、10、15、30和100次。首先，我们会使用10次每秒的并发量举行测试，然后再实验100次每秒的并发量。

我们多次发送请求后，请查察一下服务器资源的情况。

这里服务器的流量封装上涨，只管网站仍可正常访问，但我们的目的已经实现，大量斲丧了网站的流量。

可以查察EdgeOne的统计分析，这次不但限于Web安全分析，而是重点在指标分析上。我们可以观察到异常流量大量请求服务器，面临这种情况，我们应该接纳哪些步伐？

可以再看下面的请求分析。如图：

首先，通太过析该图，我们可以确定请求的IP地址及其对哪些URL举行了频仍请求，这些信息将为我们制定有效策略提供基础。
只管这种方法并不是最优选择，但我们可以将客户的IP地址加入黑名单，以限制其访问我们的网站。这种方法虽然鸠拙，由于客户IP大概会变动，导致我们必要不停更新配置，但至少是一种可行的步伐。

然后，我们接下来要做的是将IP地址添加到黑名单中，如许可以简单地增加安全防护步伐。固然，你可以根据个人需求添加IP地址段。在这个示例中，我仅添加了一个IP地址作为演示。

好的，保存完毕。接下来，我们试试发送请求，看看是否已经被乐成拦截。

当所有请求都被乐成拦截后，我们可以再次查察一下样本日志。

没错，这个规则ID就是刚刚由我们生成的唯一标识符。

当考虑到这一情况时，第二种方法即为限制请求的频率。

这里的限制过于宽松，我们必要收紧一些。一个人不大概请求得这么快。

当我们继续发送并发请求举行测试时，可以观察到EdgeOne已经可以或许辨认到后续请求，并且使用了JavaScript挑战脚本，而非直接由服务器相应。

当我们检视样本日志时，同样可以观察到这一情况。

这是一个简单的全局限制。固然，某些企业用户的网站大概要求允许客户举行大量点击，这就必要考虑了。但不用着急，我们可以精确控制这个过程。接下来我们来讨论怎样设置针对特定URL的请求限制。我们根据指标分析异常请求的地方，来设定相应的控制策略。你可以根据个人需求自行设置限制。

我在这里设置了所有涉及文件上传路径的限制。我们必要再确认一下是否已经完全拦截了所有这些路径。例如，/Pass-10/index.php。

看起来确实乐成阻止了潜在的攻击。至于上传速率的问题，我们就到这里讨论吧。
文件大小限制

速度有限制，不能让客户上传过大的文件。我们只需上传图片，并非视频，所以设定个上限是合理的，比如不超过2M，这个范围应该适应大多数需求。现在我们来详细操纵一下。必要留意的是，这个操纵不是在Web防护层举行，而是在站点加速层举行的设置。

为了更好地举行演示，我不会使用全局配置，而是接纳差别化配置的方式。这意味着我们会根据业务需求单独配置特定路径下的文件上传，详细如图所示。

当我们试着上传一个非常大的文件，以便测试上传过程。

结果是网站被拦截了，这让我感觉好像我的网站无法访问一样。看起来我必要设置一下自定义相应页面，以免让访问者误以为网站不稳定。

我们必要在这里举行相应页面的设置，内容十分简洁明了，完全遵循官方网站提供的示例举行展示。

上述页面已创建，但尚未与413状态码绑定。接下来，我们将进一步美满刚才提到的规则。请参考下图：

当我们再次审视其效果时，可以使其看起来更加稳定，这里可以轻微美化一些，确保在满意自己需求的同时，外观也可以更为精美，详细如下图所示。

截至目前，针对文件上传的所有潜在毛病攻击已经得到有效防范，但是道路漫漫，修行需持之以恒，少年仍需不懈努力。
总结

通过本文，我们深入探究了文件上传毛病攻击的多种案例和防范步伐，以及在搭建攻击靶场时的实际操纵。从前端和后端的校验毛病，到利用Apache配置文件和文件包含毛病的攻击方式，每一步都展示了安全防护的重要性。
在学习和实践过程中，我们不但仅关注怎样举行攻击，更着重于怎样保护自己的服务器免受此类攻击。我们使用了EdgeOne作为一个解决方案的示例，展示了怎样利用其提供的防护规则来有效防御文件上传毛病。
无论是在靶场搭建过程中的细节操纵，照旧在攻击案例的分析过程中，安全意识和防护步伐的实施都显得至关重要。通过本文，希望读者可以或许更深入地明白和应用这些安全原则，以保护自己的网络和服务器免受攻击的威胁。
在网络安全的道路上，学习永无止境。让我们共同努力，不停提升技能，保障网络环境的安全与稳定。
我是努力的小雨，一名 Java 服务端码农，潜心研究着 AI 技术的奥秘。我热爱技术交流与分享，对开源社区布满热情。身兼掘金优秀作者、腾讯云内容共创官、阿里云专家博主、华为云云享专家等多重身份。


免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)

Powered by Discuz! X3.4