Пролог:

Я часто натыкаюсь на функцию загрузки изображений.... Можно подумать, что сегодня загрузка и обработка изображений на сервере - вполне обычная и безопасная операция... Но даже сегодня далеко не у все веб-приложений достаточная защита от хакеров, которые могут вмешаться, и действовать против сервера. Совсем недавно я имел дело с одним интересным случаем, некоторые ограничения по загрузке изображений заставили меня применить некоторые хитрости.

Самый большой недостаток, это то что PHP сценарий и прочие скрипты пытаются изменить размер изображения, даже если оно не вылезает за "рамки" ограничений (ширины и высоты и т.п), ну и соответственно, от этого байты кода смешиваются, и он работать не будет.

Итак, что мы имеем:

1.) Изображения только при наличии соответствующей ширины, высоты и размеров допускается

2.) Загрузка допускается только в одну конкретную папку, uploads к примеру

3.) Скрипт проверяет, является ли передаваемый файл действительно изображением, а не каким-либо другим файлом

4.) Ну и конечно изображение обрабатывается с помощью PHP-функции

Со стороны простого веб-интерфейса вроде-бы всё выглядит не пробиваемым, но присмотревшись, можно понять, что "голова бронежилетом не прикрыта".

Я быстро написал Perl-скрипт, который делает прямые запросы к веб-приложению, и он показал, что я могу загрузить изображения с любым расширением. Тогда я подумал... изменить расширение на file.php и на этом игра заканчивается, но это был не тот случай... Сервер был настроен так, что все PHP файлы отправлялись пользователю как обычный файл

Получается, нет у нас ни .pl ии CGI и т.д...

Что-же делать в такой ситуации?! Первое, что пришло в голову это, чтобы обработать изображение с кодом XSS. При сохранении изображений с расширением file. HTML мы можем достичь желаемого результата. Нам нужно редактировать изображение с помощью HEX-редактора, так что PHP-функция не повредит нашей нагрузке. Очень ограничен, но работает способ "обойти" встроенный в сайт обработчик изображений, чтобы нам загрузить уже обработанные изображения.

Таким образом, мы можем увидеть, какие байты не изменились, и вместо статического байта мы можем поставить на сайт наш код. Ниже я показал простой вектор XSS, для PoC целей.

Единственным ограничением является длина "полезной нагрузки", но это не очень важно. Таким образом, атака выглядит примерно так:

Но это еще далеко не все. Не забывайте о SSI. Здесь же простая идея - с помощью HEX редактора мы вставляем наш код и сохраняем изображение с расширением SHTML exntension... Одна из самых желанных возможностей является выполнение команд операционной системы

Если это не сработает по какой-либо причине (например, Nginx не поддерживает), мы можем попробовать инклуд файлов:

Один человек предложил идею перебора файлов, указав имя файла динамически:

Тогда запрос будет выглядеть примерно так:

Тут стоит помнить, что между параметрами файлов и виртуальных одно отличие - первый включает в себя файлы, второй делает запрос...

Так что, только имея возможность изменить расширение изображений, нам открываются реально широкие возможности для злоумышленника, а это XSS, OS команды, PHP-код, LFI и т.п.

P.S: Стоит также обратить внимание внимание на правильную конфигурацию Nginx... но об этом напишем позже



Перевод: Osstduio

Автор статьи: ax330d

Источник: http://ax330d.blogspot.com/2011/06/mosaic-of-attacks-from-image-upload.html