当前位置：文江博客话题详情

从上传的文件执行代码

发布于 2024-11-03 06:12:27 字数 296 浏览 0 评论 0原文

我正在对我朋友的网站进行安全审核。其中一项功能是允许用户从 html 上传文件。唯一的验证是将文件重命名为当前时间戳。

我想知道，有没有办法上传恶意文件，以便当用户访问该文件的 url 时，它会执行代码（在服务器端）？

我尝试上传 hello-world php 脚本，但它只是显示代码而不是执行它。如果文件扩展名是.php，它将被执行，但是，没有文件扩展名（因为文件被重命名）。

编辑：作为安全审计的一部分，我可以访问完整的源代码。如果我能在不使用它的情况下解决这个问题那就更好了，但如果需要的话我可以回答有关源代码的任何问题。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

蓝咒 2024-11-10 06:12:27

据我所知，上传文件并通过访问它。浏览器无法在服务器端执行它，除非服务器设置为执行不带扩展名的文件。
但是，如果存在其他漏洞（例如本地文件包含），您也许能够上传并执行 php 脚本。

您可以在此处阅读有关文件包含的一些信息：
RFI 上的 Wiki（几乎相同）和此处
有关 LFI 的文档及其使用方法

是否可以执行该文件取决于服务器/站点设置的分配，因此您'您必须自己进行渗透测试，以确定是否可以执行 php 脚本。

在没有扩展名的文件中，您唯一可以做的就是，正如您提到的那样，XSS，但仅限于较旧的浏览器（IE8 及以下版本容易受到攻击，大多数其他浏览器则不然。）

回复收藏 0 原文

假面具 2024-11-10 06:12:27

安全扫描器 Chorizo! 可能会让人感兴趣：

https://chorizo-scanner.com/

该解决方案由一家公司实施，该公司白天进行 PHP 咨询和编码。

这是一项付费服务。一次扫描是免费的。

回复收藏 0 原文

天赋异禀 2024-11-10 06:12:27

好吧，您始终面临风险的一件事是提供将恶意代码发送到服务器上的可能性 - 无论他们是否能够仅通过查看特定文件的 URL 来执行它，都不是您所要做的全部想想。

如果您的代码中存在一个漏洞，您可以动态包含或打开服务器上的本地文件，那么人们可以简单地包含要执行的（现在）本地恶意代码。现在，这种攻击对于试图在远程服务器上包含代码的人来说甚至很常见，但某些设置被配置为防止包含远程文件，从而阻止这些攻击。如果代码实际位于计算机上并且在可执行代码中发现了弱点，这样的配置仍然会让您容易受到攻击。

这只是一个想法——我不会对此过于担心或恐慌，但我也不会完全排除它。

回复收藏 0 原文