老规矩了,是这个站点呢

http://ask.lenovomobile.com/

联想乐问吧,是咨询关于联想产品问题的地方吧!这次不牛B了。

clip_image001

2.我也来问个问题吧,这里只是测试呢!一不小心瞅到有个上传图片的地方呢!have a try!我上传一个正常图片看看先。

clip_image002

3.上传test.jpg吧,我最常用的头像,哈哈,内置菜刀一句话!点击上传咯

clip_image003

4.上传的时候,顺便抓个包看下怎么个上传的,看到filename="test.jpg",这里是不是可以改下呢?

clip_image004

clip_image005

5.看下返回的结果吧,可能包含有文件上传后的相对地址哦!果不其然呢!

clip_image006

6.访问下这个地址,结果如下:

clip_image007

7.再次上传,不过这个时候要抓包将filename的值test.jpg改成test.php,截图如下:

clip_image008

8.再看看返回的地址呗,哎呦我操,服务端真的没做判断呢,后缀还是.php

clip_image009

9.啥也不说了,操上菜刀:

clip_image010

修复方案:

1..客户端的过滤判断都是浮云,服务端还是需要做判断的;
2.文件名是改成随机命名了,但是后缀也要改下啊;
3.建议是将上传的文件存到另一个内网服务器,或者是另一台专门存放静态文件的服务器,这样即使上传成功了php文件,也不能执行了;
4.如果是在没有条件的话,建议设置上传文件的目录不可执行权限!

转自乌云。 乌云,汇聚互联网安全研究者力量!

源链接

Hacking more

...