一、黑名单限制的本质与风险

文件上传黑名单是 Web 应用通过禁用特定文件后缀（如.php、.jsp）阻止恶意脚本上传的防御机制，但因 “枚举不全”“解析差异” 等固有缺陷，常被攻击者突破。据 PortSwigger 2025 年安全报告显示，63% 的文件上传漏洞源于黑名单设计疏漏，此类漏洞可直接导致服务器权限泄露，成为渗透测试中的高频突破口。

二、黑名单绕过的核心逻辑

黑名单防御的核心是 “禁止已知危险后缀”，绕过技术本质上是利用以下三类缺陷：

1. 1. 检测逻辑漏洞：如仅校验文件名而非实际内容
2. 2. 系统 / 中间件特性：操作系统命名规则或服务器解析机制差异
3. 3. 配置依赖性：防御效果依赖特定环境配置，存在兼容性盲区

三、分层绕过技术详解（附实操案例）

（一）文件命名层面绕过

1. 特殊后缀替代攻击

服务器可能配置解析非标准脚本后缀，攻击者可利用替代后缀绕过黑名单：

• • PHP 系：php5、phtml、phpt（需 Apache 配置AddType application/x-httpd-php .phtml）
• • ASP 系：asa、cer、cdx（IIS 默认解析）
• • JSP 系：jspx、jspf（Tomcat 支持）

实操案例：在 Upload-Lab Pass03 中，黑名单禁用.php后，上传shell.phtml包含代码 shell_exec($_GET[‘pass’]); ?>，因服务器配置解析.phtml成功执行。

2. 文件名混淆技术

利用系统或检测逻辑对特殊字符的处理差异：

• • 大小写混淆：shell.PHp（针对大小写敏感的检测逻辑）
• • 空格 / 点后缀：shell.php （Windows 自动截断末尾空格）、shell.php.（部分系统忽略末尾点）
• • NTFS 数据流：shell.php::$DATA（Windows 将::$DATA后内容视为文件流，保留原后缀）
• • 双后缀注入：shell.phphp（针对单次替换逻辑，过滤php后剩余shell.php）

注意：双后缀绕过对循环替换逻辑无效，如p hp被递归过滤则失效。

（二）服务器配置层面绕过

1. .htaccess文件利用（Apache 专属）

.htaccess可重定义目录解析规则，攻击者先上传配置文件修改解析策略：

\# 方案1：指定后缀解析为PHP

AddType application/x-httpd-php .jpg

\# 方案2：所有文件强制解析为PHP

SetHandler application/x-httpd-php

上传含恶意代码的shell.jpg，服务器将其解析为 PHP 执行。限制条件：服务器允许.htaccess上传且开启AllowOverride All。

2. web.config配置注入（IIS 专属）

类似.htaccess，通过上传web.config修改 IIS 解析：

\<configuration>

&#x20; .webServer>

&#x20;   \<handlers>

&#x20;     \<add name="php" path="\*.jpg" verb="\*" modules="FastCgiModule" scriptProcessor="php-cgi.exe" resourceType="File" />

&#x20;    &#x20;

使\`.jpg\`文件通过PHP解释器执行。

\#### （三）中间件解析漏洞配合

\##### 1. 经典解析漏洞利用

\- \*\*Apache多后缀解析\*\*：\`shell.php.jpg\`，Apache从右向左识别，若\`jpg\`未在黑名单且\`php\`被解析则成功

\- \*\*IIS 6.0解析缺陷\*\*：\`shell.asp;1.jpg\`，分号后内容被忽略，解析为\`asp\`文件

\- \*\*Nginx空字节漏洞\*\*：\`shell.php%00.jpg\`（PHP3.4有效），\`%00\`截断后识别为\`php\`

\*\*靶场案例\*\*：PortSwigger Lab4中，Apache服务器禁用\`.php\`后，上传\`.htaccess\`配置\`AddType application/x-httpd-php .php5\`，再上传\`shell.php5\`成功执行。

\##### 2. 路径遍历组合攻击

部分应用仅校验文件名未过滤路径，可通过\`../\`跳转至可执行目录：

上传文件名

../../var/www/html/shell.php

URL 编码绕过过滤

..%2f..%2fvar%2fwww%2fhtml%2fshell.php

需注意\`../\`是否被编码过滤，多次编码（如\`%252f\`）可能绕过检测。

\#### （四）文件内容验证绕过

\##### 1. 文件头伪装

针对检查文件头的黑名单，在恶意脚本前添加合法文件头：

\- \*\*图片头\*\*：\`GIF89a(); ?>\`（GIF文件头）

\- \*\*PDF头\*\*：\`%PDF-1.4 eval($\_POST\['cmd']); ?>\`

\*\*原理\*\*：\`getimagesize()\`、\`exif\_imagetype()\`等函数仅校验文件开头字节，忽略后续内容。

\##### 2. 多态文件构造

使用\`exiftool\`在图片元数据中插入脚本，生成“合法图片+恶意代码”的多态文件：

\`\`\`bash

exiftool -Comment=" file\_get\_contents('/secret'); ?>" normal.jpg -o polyglot.php

此类文件可通过内容检测，且在支持解析元数据的服务器上执行代码。

（五）条件竞争绕过

利用 “文件上传 – 校验 – 删除” 流程的时间差：

1. 1. 持续上传含恶意代码的临时文件（如shell.php.tmp）
2. 2. 同时高频请求该文件，利用服务器处理延迟执行代码
3. 3. 成功后文件虽被删除，但已完成命令执行

工具配置：Burp Suite Intruder 模块设置并发请求，间隔 10ms 发送访问与上传请求。

四、防御体系构建

1. 摒弃黑名单，采用白名单

仅允许明确安全的后缀（如jpg、png、pdf），示例 PHP 代码：

\$allowExt = \['jpg', 'png', 'gif'];

\$ext = pathinfo($\_FILES\['file']\['name'], PATHINFO\_EXTENSION);

if(!in\_array(strtolower(\$ext), \$allowExt)){

  die("禁止上传");

}

2. 多重校验机制

• • 内容校验：结合文件头（如FF D8 FF）、文件结构（如图片尺寸）、病毒扫描
• • 路径固化：上传文件强制存储至非执行目录（如/upload），禁用该目录脚本解析
• • 文件名重写：生成随机文件名（如md5(uniqid()).$ext），避免路径遍历

3. 环境安全配置

• • Apache：设置AllowOverride None禁用.htaccess，删除非必要解析规则
• • IIS：关闭*.asp;*解析，限制web.config上传权限
• • 升级组件：修复已知解析漏洞（如 Nginx %00 截断、IIS 6.0 解析缺陷）

4. 流程管控

• • 上传文件先存储至内存校验，通过后再写入磁盘
• • 定期更新威胁情报，补充新型恶意文件特征库

五、总结

黑名单绕过技术的有效性高度依赖应用环境，攻击者需结合中间件类型、脚本版本、配置细节综合突破。对防御者而言，单一措施无法根治风险，需构建 “白名单校验 + 内容检测 + 环境加固 + 流程管控” 的纵深防御体系。建议通过 Upload-Lab、PortSwigger 等靶场实操验证防御有效性，避免生产环境因配置疏漏埋下安全隐患。