php.ini运行.htaccess文件_FUSE & 文件上传漏洞自动化探测工具

太过爱你忘了你带给我的痛 2023-01-12 10:13 134阅读 0赞

![d76feffbe7194a7a0fe4a590bc7c76cb.gif][]

![ae053069b99e74763fe1dfb38ab8edb3.png][]

前言

这次介绍的是一篇发表在安全顶会NDSS 2020上的一篇paper，其针对文件上传漏洞的场景，实现了一款动态fuzz的工具FUSE，并利用其发现了现有33个CMS的15 CVE。

![ae053069b99e74763fe1dfb38ab8edb3.png][]

背景介绍

首先提几个关键的缩写含义，对于漏洞分类上，可以大致为两类，即：

UFU：为Unrestricted File Upload的缩写，含义即任意文件上传。

UEFU：为Unrestricted Executable File Upload的缩写，含义即任意可执行文件上传。

但这两类可能有一个子集的包含关系，UEFU应该为UFU的子集，因为我们上传的文件未必是可执行的。

然后是对于上传的恶意文件，我们也可以分为两类：

CE：为code execution的缩写，含义即为代码执行。

PCE：为potential code execution的缩写，含义即为潜在的任意代码执行。

一类就是代码执行的文件，这个非常容易理解，比如我们常见的一句话木马，而潜在代码执行的文件，可以理解成js等，需要引入或者满足一定条件的触发才会让其产生威胁。

而至于文件上传漏洞，作为一种危害性大，案例多的web漏洞，应该大家都比较熟悉了。那么其出现漏洞的位置也是多样化的，例如后缀名过滤产生的问题：

![bfed84dabbc6a03c870c7120a4b9d862.png][]

我们可以看到黑名单过滤产生了2个弊端：第一是黑名单中的后缀名可能会有遗漏，第二是此处黑名单匹配并未使用大小写通配，从而会导致大小写Bypass。

同样的，漏洞也可能会是Content-Type过滤产生的问题：

![68407af4ffb713bd43a86b6b9a95bc86.png][]

例如上述代码中，我们看到其会对Content-Type进行过滤，而Content-Type并不能真实反映文件的内容，是可通过burp等抓包工具进行拦截修改的，所以同样会产生安全隐患。

那么对于文件上传出现漏洞的多样性，其实对攻击者的探测产生了一些麻烦，我们在黑盒的情况下或者在找到上传点的情况下，可能需要通过大量的猜测和探测才能找到正确的Bypass模式，但实际上很多时候这是一种低效率的行为，有没有可能有一款类似sqlmap的工具，来自动化的fuzz上传接口呢？于是便有了FUSE这款工具。

![ae053069b99e74763fe1dfb38ab8edb3.png][]

工具设计

我们首先看一下工具的架构：

![c8493b1984ba8152b577e47fc8cc888c.png][]

那么实际上该工具的重点就在于其如何产生有效的payload和验证payload的攻击是否生效，首先我们先看其如何有效的产生payload：

![3dbb25e3bedf04b51adcf2002716a285.png][]

我们注意到，在一次文件上传的请求里，其实有很多位置是我们可以进行伪造更改的，因此作者将常见的文件上传bypass技巧归纳为如下多种模式：

![3a727d6f6fce5f337f040464f72ea4cd.png][]

比如M3更改content-type，M4更改文件名后缀等等，当然我们肯定存在后端检测文件上传时，既检测content-type，又检测文件名后缀的情况，因此作者会对其进行排列组合进行测试：

![4fb433fd95682b94dec3569a0963aa88.png][]

测试的时候，假如我们选定的seed模式为M1、M2、M3，那么工具会生成如上排列组合的模式，依次进行探测，从第一不修改任何参数进行恶意文件上传，到按照M1M2M3模式修改所有参数进行上传，当然如果其中某一种上传成功，那么自然不会去尝试包含这一种修改的修改，例如：

![b4bf4d9bd8dfa039619da35116e362df.png][]

当M1测试后，如果M1测试成功，我们的恶意文件已上传，那么则不会去尝试M1M3的组合，因为没有意义，其应该一定为成功。

当然这里可能涉及到相互冲突的问题，假设M1M3一起修改，可能会有冲突，所以考虑到这样的问题，工具也会进行筛选操作，例如M1和M2一起会产生冲突，那么M1M2和M1M2M3这两种排列组合不会进行组合修改。

![8593e334273ccba764c538411844d814.png][]

了解了payload的生成方式，我们再来看一下如何获取恶意文件上传后的路径，以用于检测是否攻击成功：

![8f9ab1d53d6d3deb11a021f196012bc7.png][]

工具有相应的config文件，其可以指定上传成功后的路径前缀，或者response里的路径url，以此正则去提取上传后的文件路径。当然作为一种修复文件上传漏洞的方案，常看见到文件名更改和路径的隐藏，上传者无法知道文件传到了何处，其文件名是什么。那么对于这一种情况，作者使用了一个文件监视器：

![d0ba831280f113f25091b49c87db17d9.png][]

该监视器运行在攻击目标服务器上，时刻监视该服务器上的文件创建。也是因为这一点，我个人认为FUSE可能更像一款动态fuzz的漏洞发掘工具，而非一款典型的渗透测试工具，因为这一需求我们在渗透测试中是肯定不会满足的，如果都有目标服务器的控制权限了，那么也没必要进行攻击了。所以这款工具的目标，更像去挖掘一些开源现有cms的文件上传漏洞。

然后是工具的运行逻辑：

![78d36befb6c503eb07eccaa3e3c85871.png][]

这就比较清晰了，即排列组合上述的payload，然后进行不断的上传测试，通过访问上传后的路径，判断文件是否上传成功。

![ae053069b99e74763fe1dfb38ab8edb3.png][]实验结果

工具的作者关注点在于4种文件：php、html、xhtml、js，故此根据这4种文件，作者进行上传，以测试其是否允许CE或者PCE文件的上传。

首先数据集上，作者选取了33个CMS，并找到其中的文件上传点，然后利用工具进行动态fuzz，得到如下结果：

![502be41a00ab3a6a4883e972d23121c6.png][]

我们从结果里可以看到，其中有9个cms是需要文件监视器的，即上传后的文件路径和文件名难以被攻击者直接获取。同时我们发现PCE中只有php和js，这可能是因为php文件虽然上传成功，但未必能被直接解析，其可能受到.htaccess的影响，而导致其只能是潜在的代码执行文件，可能需要配合任意文件删除漏洞，才能发挥作用。而对于js，其一般是需要被html等调用触发，才能造成一系列的攻击，故其也作为了一种PCE文件。

当然除此之外，该工具有测试尝试上传了.htaccess文件，我们知道.htaccess是可以更改apache子目录配置的，其可以指定将jpg后缀按照php进行解析等，很容易导致组合拳形式的bypass，所以对其的测试是很有必要的，我们也可以看到在上述CMS中，有6个CMS是允许.htaccess上传的，这是相当危险的。

![ae053069b99e74763fe1dfb38ab8edb3.png][]后记

FUSE这款工具我个人认为，其定义应该为文件上传界的sqlmap，但由于其较强的约束条件，可能在实战黑盒测试中作用有限，应对会修改文件名和文件路径，或做隐藏的安全保护，是比较难以突破的。

工具开源在：https://github.com/WSP-LAB/FUSE

![7cb09b8641c50a55eaac7afd613d6960.png][]

![7faa8fbe149e54ec5fa895297ef1ccdc.png][]

[d76feffbe7194a7a0fe4a590bc7c76cb.gif]: /images/20221119/c7682458ef2d4601b8ccbe8e7543eb28.png
[ae053069b99e74763fe1dfb38ab8edb3.png]: /images/20221119/e5199c6de418434a8deb39985bbcac1c.png
[bfed84dabbc6a03c870c7120a4b9d862.png]: /images/20221119/6825f7ea66d949d5a085c5027cf6b87a.png
[68407af4ffb713bd43a86b6b9a95bc86.png]: /images/20221119/286e546ea78f403c84b7e8ea3347ffb6.png
[c8493b1984ba8152b577e47fc8cc888c.png]: /images/20221119/292ea53285014cea9a4c9675607b2203.png
[3dbb25e3bedf04b51adcf2002716a285.png]: /images/20221119/121d01a1b1cc49d28e634c6db3a8c5cd.png
[3a727d6f6fce5f337f040464f72ea4cd.png]: /images/20221119/86ae68b17a9c4bbf8ec2c7a634f9f6fe.png
[4fb433fd95682b94dec3569a0963aa88.png]: /images/20221119/585904d95a234be68ce414a0e92ea9db.png
[b4bf4d9bd8dfa039619da35116e362df.png]: /images/20221119/28a19784f98d43e5aeb53f1fd45cb60f.png
[8593e334273ccba764c538411844d814.png]: /images/20221119/0e2fe187fa2642e2a4de17679dfbeec8.png
[8f9ab1d53d6d3deb11a021f196012bc7.png]: /images/20221119/d77288bfc22645c29f989058eebd1852.png
[d0ba831280f113f25091b49c87db17d9.png]: /images/20221119/bff794ec21d54a778b6add1783e92423.png
[78d36befb6c503eb07eccaa3e3c85871.png]: /images/20221119/e94e048e725c4aa0b9f616e1753621f5.png
[502be41a00ab3a6a4883e972d23121c6.png]: /images/20221119/514df3a381484057905cebd78c58d94d.png
[7cb09b8641c50a55eaac7afd613d6960.png]: /images/20221119/7c4efa4b92784d7e90227eac5ac2d1af.png
[7faa8fbe149e54ec5fa895297ef1ccdc.png]: /images/20221119/10170f221e03428583a28d300a6986df.png