【逻辑漏洞】通过条件竞争进行文件上传
Part.1
基本概念
基本概念
基本概念:竞争条件发生在多个线程同时访问同一个共享代码、变量、文件等没有进行锁操作或者同步操作的场景中。
开发者在进行代码开发时常常倾向于认为代码会以线性的方式执行,而且他们忽视了并行服务器会并发执行多个线程,这就会导致意想不到的结果。
漏洞逻辑:首先将文件上传到服务器,然后检测文件后缀名,如果不符合条件再删掉。
攻击思路:首先上传一个php文件,当然这个文件会被立马删掉,所以我们使用多线程并发的访问上传的文件,总会有一次在上传文件到删除文件这个时间段内访问到上传的php文件,一旦我们成功访问到了上传的文件,那么它就会向服务器写一个shell。
Part.2
漏洞分析
漏洞分析
以upload-labs-master的第17关为例:
查看提示,需要代码审计:
查看源代码如下:
会发现上传逻辑为:
- 先通过move_uploaded_file(temp_file,upload_file)将文件上传至服务器中。
- 上传完毕后通过in_array(file_ext,ext_arr)检查文件名后缀
- 如果后缀名合法,则对文件进行重命名,上传完成
- 如果后缀名非法,则删除文件。
随意上传一张图片:
成功后查看图片,可以看到上传后的路径如下:
Part.3
漏洞利用
漏洞利用
我们先在本地创建一个test.php文件:
//访问该页面,就会在本地写入一个info.php文件。
直接上传的话,肯定会被删除:
这里尝试一下条件竞争。
已知文件上传后的路径为upload-labs-master/upload/test.php
现在访问肯定不存在:
使用burp抓取上传报文:
再抓取一个访问报文:
将以上两个报文都发送至intruder模块。
在报文url中加上?a=1,并将a设置为变量,用于不断发送:
访问包设置a参数:
都选择类型为Numbers的字典,数量为一万:
将线程都调到20:
开始攻击,当出现200时,上传成功:
尝试访问生成的info.php:
成功~
Part.4
防护手段
防护手段
对于文件上传类的条件竞争漏洞,一定要先充分检查之后再进行上传。
而不是先上传,之后再检测。
最后附上乌云的实际案例:
https://wooyun.laolisafe.com/bug_detail.php?wybug_id=wooyun-2014-049794