上传 文件头检查

xling 楼主

各位达人，
有没有上传时，对文件头检查，以判断是不是真实的文件类型的例子？

谢谢。
我搜了老久，还没有找到。

hyforever

这是ASP的最简短的!

if fileExt<>".gif" and fileExt<>".jpg" then
         response.write "<font size=2>图片格式只能为jpg/gif[ <a href=# onclick=history.go(-1)>重新上传</a> ]</font>"
        response.end
    end if

xling 楼主

楼上，我不会菜到连扩展名都不会判断吧！

Fanbin

刚要去吃饭，忍不住还是想回个帖

这问题我以前也想过，到是可以通过 $_FILES['file']['type'] 获取上传文件的MIME类型，可是浏览器判断MIME类型好像也是看扩展名，并不分析文件头。

可如果用PHP分析上传的文件要涉及到二进制操作，那可就头大了……

xling 楼主

看到一段JAVA的：不过，看不出来什么门道。

                bool xx=false;  //default sFileName is not Exe or Dll File
                System.IO.FileStream  fs=new System.IO.FileStream(sFileName,System.IO.FileMode.Open,System.IO.FileAccess.Read);
                System.IO.BinaryReader r=new System.IO.BinaryReader(fs);
                string bx="";
                byte buffer;
                try
                {
                    buffer=r.ReadByte();
                    bx=buffer.ToString();
                    buffer=r.ReadByte();
                    bx+=buffer.ToString();

                }
                catch (Exception exc)
                {
                    Console.WriteLine(exc.Message);
                }
                r.Close();
                fs.Close();
                if (bx=="7790"||bx=="8297"||bx=="8075")//7790:exe,8297:rar,8075k
                {
                    xx=true;
                }
                Console.WriteLine(bx);
                return xx;                 dll:MZ
                exe:MZ
                rar:Rar
                zip:PK

Fanbin

二进制读取文件，得到前两个字节并将其转换成字符串，就能得到 7790， 8297什么的？
如果是这样那我倒有点思路了……
ok，我试试去。

Fanbin

好了，核心部分搞定，多谢xling提供的那段Java代码：

1. <?php
   
2. $filename = "D:\\296.mid";
   
3. $file     = fopen($filename, "rb");
   
4. $bin      = fread($file, 2); //只读2字节
   
5. fclose($file);
   
6. $strInfo  = @unpack("c2chars", $bin);
   
7. $typeCode = intval($strInfo['chars1'].$strInfo['chars2']);
   
8. $fileType = '';
   
9. switch ($typeCode)
   
10. {
    
11.         case 7790:
    
12.                 $fileType = 'exe';
    
13.                 break;
    
14.         case 7784:
    
15.                 $fileType = 'midi';
    
16.                 break;
    
17.         case 8297:
    
18.                 $fileType = 'rar';
    
19.                 break;
    
20.         case 255216:
    
21.                 $fileType = 'jpg';
    
22.                 break;
    
23.         case 7173:
    
24.                 $fileType = 'gif';
    
25.                 break;
    
26.         case 6677:
    
27.                 $fileType = 'bmp';
    
28.                 break;
    
29.         case 13780:
    
30.                 $fileType = 'png';
    
31.                 break;
    
32.         default:
    
33.                 echo 'unknown';
    
34. }
    
35. 
    
36. echo 'this is a(an) '.$fileType.' file:'.$typeCode;
    
37. ?>

复制代码

Fanbin

关键是 unpack 这个函数，把读到的二进制内容转成 字符串！

好帖，收藏了

xling 楼主

打击你一下，
你百度一下：gif89a文件头欺骗

Fanbin

我汗…… 那怎么办？你再处理一下这个吧，解决了别忘了发上来

xling 楼主

不知道DZ是怎么处理的。
汗。。。没有做处理！
我记得以前上传一个改过后缀名的文件，会提示“看起来不是真实的***文件”云云
现在居然没有处理！

[ 本帖最后由 xling 于 2007-11-30 13:49 编辑 ]

kuhanzhu

检测图片类型和是否为图片都是无效的。
可以检测后缀再加文件头检测。这样就相对应了，让加了文件头的asp文件等后缀是jpg等图片后缀。
再加备份还原数据库路径检测等。（不要犯动网7.0的还原问题就行了）

xling 楼主

没听明白。
能否细说？

kuhanzhu

你的那个已经上传成功了。
而且DZ确实是检测了后缀jpg上传的。能显示，那是因为浏览器是不看后缀的，就跟一个会动的gif文件改为jpg后缀仍然能动一样。

gif89a文件头检测是指程序为了他人将asp等文件后缀改为gif后上传，读取gif文件头，检测是否有gif87a或gif89a标记，是就允许上传，不是就说明不是gif文件。

而欺骗刚好是利用检测这两个标记，只要在木马代码前加gif87a就能骗过去。

有些程序因为有了检测功能，就更省事，直接检测文件头，上传（所有文件都检测文件头）。因此比如一个后缀为asp的木马，前面加了gif文件头标记，就直接上传了。这样，一个木马很容易就利用了。

而对于还要检测后缀的程序来说。木马只能把后缀改为gif来欺骗程序以gif形式上传，传上去之后再利用备份还原的方式进行asp后缀改回，再进行利用。

kuhanzhu

第一个典型例子是动网7.0头像上传漏洞。
系统检测后缀，不允许的文件为asa、asp、cdx、cer等一些常见的ASP环境下的后缀，却没想到全能空间需要过滤如php\aspx等后缀。
而程序又同时这样处理了：split(FileMIME,"/")(0)<>"image"（我已经找到硬盘上很久前的录像了 ）
也就是说非gif和jpg文件不嫁了
因此把文件头写到一个php或aspx木马前就利用了

而后一个例子是动网7.0后台备份还原问题，只要进入后台且上传了张后缀为jpg的木马图片，利用备份还原就能把jpg木马图片恢复为asp文件进行利用。
因此只要扣好上面几点途径就好了。

xling 楼主

谢谢版主。

Fanbin
你的代码很好，让我认识了unpack这个函数。

但是dll的头两个字节解压回来也是：7790，和exe的一样。

Fanbin

dll就是动态链接库文件，在某些方面上它就是和exe差不多的，甚至有些程序只把exe做为一个外壳，而核心在dll里
至于头两个字节一样，我也没办法，它就是那样的

是你的Java代码给了我提示哈！

irlvirus

jpg和gif 验证错误没有很大关系,一些关键的文件类型不要检测错误了才是最要的

wenming

如果检测GIF/JPG/PNG/BMP格式图片，可以使用getimagesize函数。
如果是其它的文件，可以检测文件头与扩展名。

附一个检测函数

1. /**
   
2. * 检查文件类型
   
3. *
   
4. * @access      public
   
5. * @param       string      filename            文件名
   
6. * @param       string      realname            真实文件名
   
7. * @param       string      limit_ext_types     允许的文件类型
   
8. * @return      string
   
9. */
   
10. function check_file_type($filename, $realname = '', $limit_ext_types = '')
    
11. {
    
12.     if ($realname)
    
13.     {
    
14.         $extname = strtolower(substr($realname, strrpos($realname, '.') + 1));
    
15.     }
    
16.     else
    
17.     {
    
18.         $extname = strtolower(substr($filename, strrpos($filename, '.') + 1));
    
19.     }
    
20. 
    
21.     $str = $format = '';
    
22. 
    
23.     $file = @fopen($filename, 'rb');
    
24.     if ($file)
    
25.     {
    
26.         $str = @fread($file, 0x400); // 读取前 1024 个字节
    
27.         @fclose($file);
    
28.     }
    
29.     else
    
30.     {
    
31.         if (stristr($filename, ROOT_PATH) === false)
    
32.         {
    
33.             if ($extname == 'jpg' || $extname == 'jpeg' || $extname == 'gif' || $extname == 'png' || $extname == 'doc' ||
    
34.                 $extname == 'xls' || $extname == 'txt'  || $extname == 'zip' || $extname == 'rar' || $extname == 'ppt' ||
    
35.                 $extname == 'pdf' || $extname == 'rm'   || $extname == 'mid' || $extname == 'wav' || $extname == 'bmp' ||
    
36.                 $extname == 'swf' || $extname == 'chm'  || $extname == 'sql' || $extname == 'cert')
    
37.             {
    
38.                 $format = $extname;
    
39.             }
    
40.         }
    
41.         else
    
42.         {
    
43.             return '';
    
44.         }
    
45.     }
    
46. 
    
47.     if ($format == '' && strlen($str) >= 2 )
    
48.     {
    
49.         if (substr($str, 0, 4) == 'MThd' && $extname != 'txt')
    
50.         {
    
51.             $format = 'mid';
    
52.         }
    
53.         elseif (substr($str, 0, 4) == 'RIFF' && $extname == 'wav')
    
54.         {
    
55.             $format = 'wav';
    
56.         }
    
57.         elseif (substr($str ,0, 3) == "\xFF\xD8\xFF")
    
58.         {
    
59.             $format = 'jpg';
    
60.         }
    
61.         elseif (substr($str ,0, 4) == 'GIF8' && $extname != 'txt')
    
62.         {
    
63.             $format = 'gif';
    
64.         }
    
65.         elseif (substr($str ,0, 8) == "\x89\x50\x4E\x47\x0D\x0A\x1A\x0A")
    
66.         {
    
67.             $format = 'png';
    
68.         }
    
69.         elseif (substr($str ,0, 2) == 'BM' && $extname != 'txt')
    
70.         {
    
71.             $format = 'bmp';
    
72.         }
    
73.         elseif ((substr($str ,0, 3) == 'CWS' || substr($str ,0, 3) == 'FWS') && $extname != 'txt')
    
74.         {
    
75.             $format = 'swf';
    
76.         }
    
77.         elseif (substr($str ,0, 4) == "\xD0\xCF\x11\xE0")
    
78.         {   // D0CF11E == DOCFILE == Microsoft Office Document
    
79.             if (substr($str,0x200,4) == "\xEC\xA5\xC1\x00" || $extname == 'doc')
    
80.             {
    
81.                 $format = 'doc';
    
82.             }
    
83.             elseif (substr($str,0x200,2) == "\x09\x08" || $extname == 'xls')
    
84.             {
    
85.                 $format = 'xls';
    
86.             } elseif (substr($str,0x200,4) == "\xFD\xFF\xFF\xFF" || $extname == 'ppt')
    
87.             {
    
88.                 $format = 'ppt';
    
89.             }
    
90.         } elseif (substr($str ,0, 4) == "PK\x03\x04")
    
91.         {
    
92.             $format = 'zip';
    
93.         } elseif (substr($str ,0, 4) == 'Rar!' && $extname != 'txt')
    
94.         {
    
95.             $format = 'rar';
    
96.         } elseif (substr($str ,0, 4) == "\x25PDF")
    
97.         {
    
98.             $format = 'pdf';
    
99.         } elseif (substr($str ,0, 3) == "\x30\x82\x0a")
    
100.         {
     
101.             $format = 'cert';
     
102.         } elseif (substr($str ,0, 4) == 'ITSF' && $extname != 'txt')
     
103.         {
     
104.             $format = 'chm';
     
105.         } elseif (substr($str ,0, 4) == "\x2ERMF")
     
106.         {
     
107.             $format = 'rm';
     
108.         } elseif ($extname == 'sql')
     
109.         {
     
110.             $format = 'sql';
     
111.         } elseif ($extname == 'txt')
     
112.         {
     
113.             $format = 'txt';
     
114.         }
     
115.     }
     
116. 
     
117.     if ($limit_ext_types && stristr($limit_ext_types, '|' . $format . '|') === false)
     
118.     {
     
119.         $format = '';
     
120.     }
     
121.     if ($extname != $format)
     
122.     {
     
123.         $format = '';
     
124.     }
     
125. 
     
126.     return $format;
     
127. }

复制代码

[ 本帖最后由 wenming 于 2007-12-3 23:03 编辑 ]

magus163

那段代码明显不是Java是.net的。