一、文档上载安全漏洞及亲密关系

文档上载安全漏洞是指互联网攻击者将可继续执行文档上载到伺服器并继续执行。这儿上载的文档可能将是木马、病毒、蓄意JAVA等。此种攻击方式是最间接有效率的。部份文档上载安全漏洞借助的控制技术准入门槛较低，很难被普通用户实行。

文档上载安全漏洞这类是两个危害性非常大的安全漏洞，借助那个安全漏洞被无穷不断扩大。绝大多数上载安全漏洞被借助后，普通用户会耶尔圣方便快捷先期出访掌控系统。除非置放或填入受负面影响的掌控系统，普通用户就能透过此种更单纯、更隐密的方式在服务项目中放任。

这儿须要特别注意的是，上载安全漏洞的借助时常被采用，置入的不止文档上载。

1 概要

是asp、php、jsp或cgi等页面文档方式的指示继续执行自然环境，也能称作页面侧门。普通用户侵略中文网站后，一般来说会将那些asp或php侧门文档与中文网站伺服器的web产品目录下的恒定页面文档混和在一同，接着采用应用程序出访那些侧门，获得两个指示继续执行自然环境来掌控中文网站伺服器的商业用途（能上载、下载或修正文档，操作方式资料库，继续执行任一指示等）。

侧门高度隐密，能轻松透过防火墙。出访时不留下掌控系统日志seo优化，中文网站的web日志中只留下部份数据提交记录。没有经验的管理员很难找到侵略的痕迹。普通用户能隐藏在普通文档中，修正文档时间来增强隐密性，也能采用一些函数对进行编码或拼接来躲避检测。除此之外，透过单句木马的小马提交更强大的马，能更轻松地透过应用这类的检测。它是最常见和最原始的小马之一，在此基础上出现了许多变种，例如等等。

2 文档上载安全漏洞原理

大部份中文网站和应用掌控系统都有上载功能，如用户头像上载、相片上载、文档上载等。部份文档上载功能实现标识符没有严格限制用户上载的文档后缀和文档类型，使得普通用户能将任一 PHP 文档上载到可透过 Web 出访的产品目录，并能将那些文档传递给 PHP 解释器。在远程伺服器上继续执行任一 PHP JAVA。

当掌控系统存在文档上载安全漏洞时，普通用户能将病毒、木马、其他蓄意JAVA或包含JAVA的相片上载到伺服器，那些文档将为普通用户先期的攻击提供便利。根据具体安全漏洞，这儿上载的JAVA能是普通后缀的PHP、ASP、JSPJAVA，也能是被篡改后缀的这类JAVA。

m 当上载的文档是病毒或木马时，主要用于诱骗用户或管理员下载并继续执行或自动运行；

文档上载后，普通用户能透过那些页面的侧门继续执行指示并掌控伺服器；

m 当上载的文档是另两个蓄意JAVA时，普通用户能间接继续执行该JAVA进行攻击；

m 当上载的文档为蓄意相片时，该相片可能将包含JAVA，当那些相片被加载或点击时，该JAVA会静默继续执行；

m 当上载的文档是伪装成普通后缀的蓄意JAVA时，普通用户能借助本地文档包含安全漏洞（ File ）继续执行该文档。比如将bad.php文档重命名为bad.doc并上载到伺服器，接着透过PHP的 , , , 等函数继续执行。

此处蓄意文档上载主要有以下三个原因：

m 文档上载没有仔细检查。一些应用在上载文档时根本不进行文档格式检查，使得普通用户能间接上载蓄意文档。有些应用只在客户端检查php文档上载标识符，在专业普通用户眼里，几乎所有客户端检查都等于没有检查。普通用户能透过上载 NC 和断点等工具轻松绕过客户端检查。虽然有些应用会在伺服器端进行黑名单检查，但此种情况可能将会被忽略。比如把.php改成.php就能绕过检查；一些应用程序在伺服器端继续执行白名单检查，但忽略截断字符。 ，如果应用原本只允许上载jpg相片，文档名能构造为xxx.php.jpg，即16进制0x00字符，.jpg欺骗应用的上载文档类型检测，但是对于伺服器来说，因为字符截断，最后上载的文档变成xxx.php。

m 文档上载后文档名修正处理不当。有些应用在伺服器端进行了完整的黑名单和白名单过滤，但是在修正上载文档的文档名时，是稀疏的，允许用户修正文档后缀。例如，如果应用程序只能上载.doc文档，普通用户能先将.php文档的后缀改为.doc，上载成功后修正文档名时再将后缀改为.php。

m 在采用第三方插件时引入。很多应用都引用了具有文档上载功能的第三方插件。那些插件在实现文档上载功能时可能将存在安全漏洞，普通用户能借助那些安全漏洞进行文档上载攻击。例如，知名博客平台插件丰富，每年都会在那些插件中发现大量文档上载安全漏洞。

3 文档上载攻击示例

如上所述，文档上载安全漏洞的原因有很多。下面以第二个为例，选择文档上载安全漏洞（-db编号为）详细讲解借助安全漏洞的全过程。

是两个采用PHP语言和语言开发的内容管理掌控系统。 2.2.版本2允许未经认证的用户上载文档，并且能修正上载文档的后缀。虽然掌控系统限制用户上载doc和pdf格式的文档，但是在修正文档名时出现错误，让用户能修正文档后缀。普通用户能将蓄意文档的后缀改为doc或pdf，上载成功后将后缀改为php继续执行。

l 上载文档后缀

出访掌控系统的文档管理页面///.php，上载两个恒定的doc文档，发现能上载成功。用PHP语言编写侧门，也能从网上下载两个已有的，将文档后缀改为doc。在这儿，把.php侧门改成.doc。

准备好后，出访 .php 文档管理页面，将 .doc 上载到伺服器。如图1所示，doc后缀已经上载成功。此时透过应用程序出访doc格式无法恒定继续执行。

图1.doc上载成功

l 把后缀改成php

在文档管理页面右击.doc，选择进入修正文档名页面，将.doc改为.php，点击Ok按钮提交修正结果（如图2）。此时文档的后缀已经被php修正成功php文档上载标识符，由于应用程序编码的继续执行中文网站开发，文档管理页面已经无法读取.php文档，但是我们能在文档上载中看到修正后的文档掌控系统伺服器产品目录（如图3所示）。显示）。

图2 将.doc修正为.php

图3 服务项目端的后缀改为php

我继续执行

此时php后缀已经在伺服器的上载产品目录中，能恒定解析伺服器自然环境。间接透过应用程序出访文档：输入我们设置的密码登录那个页面（如图4）。从图中我们能看出，只有透过那个文档，普通用户才能在伺服器上进行文档管理、资料库管理、继续执行掌控系统指示、继续执行任一PHP标识符。这样，普通用户能将额外的文档置放到更深的产品目录中，或者将PHP侧门标识符间接添加到掌控系统中已经很少采用的php文档中，以防止被掌控系统管理员检测到。

图4 成功进入侧门