PHP文件上传中fileinfo出现的安全问题

php 安全服务器 2023-09-14 06:09:45 226人浏览泡泡鱼

摘要

什么是fileinfo fileinfo的函数通过在文件的给定位置查找特定的魔术字节序列来猜测文件的内容类型以及编码，也就是说我们可以获得上传文件的MIME信息在windows中我们可以在PHP.

什么是fileinfo

fileinfo的函数通过在文件的给定位置查找特定的魔术字节序列来猜测文件的内容类型以及编码，也就是说我们可以获得上传文件的MIME信息

在windows中我们可以在PHP.ini中开启
在这里插入图片描述

extension=fileinfo

在linux中开启fileinfo

找到fileinfo的路径执行命令：find / -name fileinfo，查询到fileinfo所在目录执行phpsize命令执行命令：/usr/local/php/bin/phpize执行configure配置执行命令：./configure --with-php-config=/usr/local/php/bin/php-config注意：如果提示php-config命令不存在，则需要先安装php-devel，执行命令：yum install php-devel。编译安装命令：make && make install修改php.ini文件在php.ini文件中添加extension=fileinfo.so

在打开fileinfo后我们就可以使用fileinfo扩展了
那fileinfo包括哪些呢
在这里插入图片描述
像如图红圈中的那些都是fileinfo扩展。

fileinfo预定义常量

常量名	作用
FILEINFO_NONE	无特殊处理
FILEINFO_SYMLINK	跟随符号链接
FILEINFO_MIME_TYPE	返回 mime 类型。自 PHP 5.3.0 可用
FILEINFO_MIME_ENcoding	返回文件的 mime 编码。自 PHP 5.3.0 可用
FILEINFO_MIME	按照 RFC 2045 定义的格式返回文件 mime 类型和编码
FILEINFO_COMPRESS	解压缩压缩文件。由于线程安全问题，自 PHP 5.3.0 禁用
FILEINFO_DEVICES	查看设备的块内容或字符
FILEINFO_CONTINUE	返回全部匹配的类型
FILEINFO_PRESERVE_ATIME	如果可以的话，尽可能保持原始的访问时间
FILEINFO_RAW	对于不可打印字符不转换成 \ooo 八进制表示格式
FILEINFO_EXTENSION	根据 MIME 类型返回适当的文件扩展名。有的文件类型具有多种扩展名，例如 JPEG 将会返回多个扩展名，以斜杠分隔，比如 “jpeg/jpg/jpe/jfif”。如果在 magic.mime 数据库里类型未知，则返回的是 “???”。 PHP 7.2.0 起有效

如何使用fileinfo去过滤上传文件

首先我们要创建一个 fileinfo 资源,然后就可以调用 fileinfo 资源了

$file = $_FILES;$finfor = finfo_open(FILEINFO_MIME_TYPE);$info = finfo_file($finfor, $file['jpg']['tmp_name']); //拿上传文件的MIME头与finfo_open()返回mime类型进行比较返回真实的mime头

此时若上传文件是txt文件伪造后的jpg等图片文件则会返回一个txt文件的mime头
那修改掉数据包中的mime头可以绕过吗？
在这里插入图片描述
上面这图就是直接上传的一个txt改jpg图片文件的，可以看到他的mime类型为image/jpeg

POST /study/wjsc/sc.php Http/1.1Host: 192.168.0.106Content-Length: 199Cache-Control: max-age=0Upgrade-Insecure-Requests: 1Origin: http://192.168.0.106Content-Type: multipart/fORM-data; boundary=----WEBKitFormBoundarymrijfqP5su2sSW5YUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (Khtml, like Gecko) Chrome/103.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Referer: http://192.168.0.106/study/wjsc/sc.phpAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close------WebKitFormBoundarymrijfqP5su2sSW5YContent-Disposition: form-data; name="jpg"; filename=".jsp.jpg"Content-Type: image/jpeg<?php phpinfo();?>------WebKitFormBoundarymrijfqP5su2sSW5Y--

看一下上传后的效果
在这里插入图片描述
提示不合法，可以看一下返回的mime类型

返回为text/x-php类型。

如何去绕过fileinfo检测

这样写看似安全，但是由于fileinfo的检测原理恰恰会出现安全漏洞。
首先，先上传一个正常的图片
在这里插入图片描述
提示合法。
那接下来若上传的是一个图片马呢
图片马的合成

提示合法，可以看到mime类型也是image/png，那由此可见fileinfo也不是无敌的。

接下来就是思考正常的图片与伪造过后的图片有哪些不一样，在一张图片中大概是由文件头和内容组成那伪造的图片除了内容以外就是文件头的问题了
在伪造的文件中加上GIF89a，然后上传。
在这里插入图片描述
可以看到提示合法

就这样就绕过了fileinfo的检测
方便实验我将文件后缀改成了.php

执行成功！
在墨者学院的在线靶场中也存在一样的漏洞靶场可以帮助快速了解这个漏洞