通过EXIF注释上传.JPEG文件外壳程序

Question

我最近遇到了这个咨询，我对这两个漏洞都感到有点困惑，特别是文件上传漏洞。我不明白如何实际利用这个条件(甚至是为什么它作为一个条件存在)。

我尝试使用一个shell 像这样并将它插入EXIF数据的注释部分，但是之后我找不到执行代码的任何方法。

有人能帮忙吗？为什么这样的情况会存在？这个漏洞实际上是一个漏洞吗？或者，它只是一个PoC，显示您可以上传东西内部的东西(但实际上并不是利用它们)？

Answer 1

他们说的是：

• 上传页面不强制文件扩展名，允许您上传扩展名为.aspx的图像文件。
• 您可以在JPEG的EXIF注释标记中嵌入代码，它将在调整大小的过程中存活下来(即注释标记不会被剥离)
• 当查看文件时，服务器将文件数据解析为普通的ASPX页面。服务器在EXIF标记之前输出二进制数据，查看<%，然后在EXIF注释标记中执行代码，在找到%>时停止解析，然后输出二进制数据的其余部分。

我不确定这是否真的有效，因为我还没有测试它，但听起来是合理的。一个类似的技巧适用于PHP，允许您上传扩展名为.php的图像的任何文件上传系统都将允许您通过将<?php /* code here */ ?>注入其中来利用EXIF标记。