web-dev-qa-db-ja.com

.JPEGファイルアップロードシェル(EXIFコメント経由)

私は このアドバイザリ に最近遭遇しました、そして私は両方のエクスプロイト、特にファイルアップロードの脆弱性に少し混乱しています。この条件を実際に悪用する方法(またはこれが条件として存在する理由さえ)がわかりません。

シェル これのように を使用して、EXIFデータのコメントセクションに挿入しようとしましたが、後でコードを実行する方法が見つかりませんでした。

誰でも手伝ってくれる?このような状態が存在するのはなぜですか?この脆弱性は実際に脆弱性ですか?それとも、物事を物事の中にアップロードできる(しかし実際にはそれらを悪用することはできない)ことを示す単なるPoCですか?

10
NULLZ

彼らが言っていることは次のとおりです:

  • アップロードページはファイル拡張子を強制せず、拡張子が.aspxの画像ファイルをアップロードできます。
  • JPEGのEXIFコメントタグ内にコードを埋め込むことができます。これは、サイズ変更プロセスを通過します(つまり、コメントタグは取り除かれません)。
  • ファイルを表示すると、サーバーはファイルデータを通常のASPXページとして解析します。サーバーは、EXIFタグの前にバイナリデータを出力し、<%を確認してから、EXIFコメントタグ内のコードを実行し、%>を検出すると解析を停止し、残りのバイナリデータを出力します。

私はそれをテストしていないので、これが実際に機能するかどうかはわかりませんが、それは合法に聞こえます。同様のトリックはPHPでも機能し、拡張子.phpの画像をアップロードできるファイルアップロードシステムでは、<?php /* code here */ ?>を挿入することでEXIFタグを悪用することができます。

8
Polynomial