[网络安全]DVWA之File Upload—AntSword(蚁剑)攻击姿势及解题详析合集

已于 2024-05-25 10:05:11 修改
阅读量1w 收藏 4
点赞数 1
分类专栏: 网络安全 # DVWA靶场攻防实战 文章标签: 网络安全 antsword
于 2023-04-29 13:14:08 首次发布
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/130438058
版权

文章目录

同类文章参考:[网络安全]AntSword(蚁剑)实战解题详析(入门)

File Upload—low level

源码中无过滤:

在这里插入图片描述
上传包含一句话木马<?php @eval($_POST[qiushuo]);?>的文件qiu.php
回显上传成功:

在这里插入图片描述
将路径../../hackable/uploads/qiu.php与URLhttp://localhost/dvwa/vulnerabilities/upload/#拼接为http://localhost/dvwa/vulnerabilities/upload/../../hackable/uploads/qiu.php,密码qiushuo,连接蚁剑。
先测试连接:

在这里插入图片描述

连接成功后点击添加,再右键点击文件管理即可。

在这里插入图片描述自此,DVWA之File Upload—low level解题结束。

URL中#的作用

#是用来指导浏览器动作的,不作用于服务器端。所以,HTTP请求中不包括#。

比如,访问下面的网址,

http://www.example.com/1.htmll#qiushuo.php

浏览器实际发出的请求是这样的:

GET /1.html HTTP/1.1

Host: www.example.com

File Upload—medium level

仍然上传qiu.php,页面回显如下:

在这里插入图片描述
源代码中对文件格式进行过滤:

在这里插入图片描述
修改qiu.php为qiu.jpg,上传。

在这里插入图片描述
由于jpg是不被解析的,所以需要抓包将文件格式修改为php等。
如下图,将filename="qiu.jpg"修改为filename="qiu.php"

在这里插入图片描述
上传成功:

在这里插入图片描述
将路径与URL拼接,连接蚁剑。

在这里插入图片描述
以下步骤同上,不再赘述。

在这里插入图片描述
自此,DVWA之File Upload—medium level解题结束。

File Upload—high level

源码如下:

在这里插入图片描述

代码审计

1.获取上传文件的信息,包括文件名、扩展名、大小和临时文件路径等。

2.判断上传的文件是否为 JPG、JPEG 或 PNG 图片,并且文件大小不超过 100000 字节(即100KB)。strtolower() 可以将字符串转换成小写;
getimagesize() 函数可以判断指定的文件是否为一种可识别的图像格式。

3.将合法的图片文件移动到指定的上传目录中,并输出上传成功的信息;否则输出相应的错误提示信息。

先上传常规木马文件

在这里插入图片描述
high等级强制了文件类型。由于文件类型与后缀名无关,所以修改文件后缀名不能绕过

在这里插入图片描述

GIF89a
<script language="php">eval($_POST['qiushuo']);</script>

回显如下:

在这里插入图片描述 由于Burp修改文件格式发包只能绕过前端,所以此时抓包后将.jpg改为.php是不能绕过的。

文件包含

具体原理不再解释
有时候使用蚁剑登录网站可能需要提供用户名和密码等信息,在蚁剑中设置 Cookie,攻击者便可以在蚁剑中模拟登录目标站点,并保存站点返回的 Cookie 值,从而实现一些需要登录才能访问的功能,比如上传、下载文件等操作。
URL:http://localhost/dvwa/vulnerabilities/fi/?page=file:///D:/Software/PHPStudy/phpstudy_pro/WWW/dvwa/hackable/uploads/2.jpg(图片路径)
密码:qiushuo
获取cookie:

在这里插入图片描述
请求信息栏输入cookie:

在这里插入图片描述
以下操作同上,不再赘述。

自此,DVWA之File Upload—high level解题结束。

File Upload—Impossible level

源代码

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );


    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
        imagedestroy( $img );

        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!
            echo "<pre><a href='{$target_path}{$target_file}'>{$target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }

        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

代码审计

1.判断提交按钮是否被点击,并检查 Anti-CSRF token 是否合法。

if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
    ...
}

这里通过判断 $_POST[ ‘Upload’ ] 变量是否存在来判断前端页面是否提交了表单。如果提交了表单,则调用 checkToken() 函数来检查提交的 Anti-CSRF token 是否与当前会话中的 token 相等(即防止 CSRF 攻击)。

2.获取上传文件的相关信息,并定义目标存放路径和文件名等变量。

// File information
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
$uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
$uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

// Where are we going to be writing to?
$target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
$target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
$temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
$temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

这里通过 $_FILES 变量获取了上传文件的名称、扩展名、大小、类型和临时文件名等信息,并将其保存到相应的变量中。然后,定义了存放目录、目标文件名和临时文件名三个变量。

3.检查上传文件是否符合要求。

// Is it an image?
if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
    ( $uploaded_size < 100000 ) &&
    ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
    getimagesize( $uploaded_tmp ) ) {
    ...
}

这里使用了一系列条件语句来检查上传文件是否符合要求。首先,检查上传文件的扩展名是否为 jpg、jpeg 或 png;然后,检查文件大小是否小于 100KB;接着,检查文件 MIME 类型是否为 image/jpeg 或 image/png;最后,调用 getimagesize() 函数检测上传文件是否是真正的 JPG、JPEG 或 PNG 图片。如果满足以上所有条件,则进入下一步操作。

4.将临时文件转换为 JPEG 或 PNG 格式的图片,并保存到目标存放路径中。

// Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
if( $uploaded_type == 'image/jpeg' ) {
    $img = imagecreatefromjpeg( $uploaded_tmp );
    imagejpeg( $img, $temp_file, 100);
}
else {
    $img = imagecreatefrompng( $uploaded_tmp );
    imagepng( $img, $temp_file, 9);
}
imagedestroy( $img );

// Can we move the file to the web root from the temp folder?
if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
    // Yes!
    echo "<pre><a href='{$target_path}{$target_file}'>{$target_file}</a> succesfully uploaded!</pre>";
}
else {
    // No
    echo '<pre>Your image was not uploaded.</pre>';
}

// Delete any temp files
if( file_exists( $temp_file ) )
    unlink( $temp_file );

这里首先根据文件类型使用 imagecreatefromjpeg() 或 imagecreatefrompng() 函数创建一个新的图片资源,并使用 imagejpeg() 或 imagepng() 函数将其保存为 JPEG 或 PNG 格式的图片,存放到临时文件中。然后,使用 rename() 函数将临时文件移动到指定的目录中,作为最终的上传文件。如果移动成功,则输出上传成功的消息;否则,输出上传失败的消息。最后,删除任何临时文件(如果存在)。

5.生成新的 Anti-CSRF token。

// Generate Anti-CSRF token
generateSessionToken();

这里调用了 generateSessionToken() 函数,生成一个新的 Anti-CSRF token,以便下一次提交时使用。
自此,DVWA之File Upload—high level解题结束。

秋说
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DVWA——File Upload
qq_54448882的博客
11-09 2976
此文章仅供学习使用,请勿用作违法行为。 目录 简介 文件上传漏洞 Webshell(网页后门) 造成文件上传漏洞的主要原因 危害 Low 上传一句话木马 使用连接 Medium 上传一句话木马 拦截信息改变上传文件类型 连接 简介: 文件上传漏洞: 文件上传漏洞主要攻击web服务,有文件上传存在的地方都有可能存在文件上传的漏洞,但并不是所有地方都存在这个漏洞。漏洞是否存在取决于对方的代码的完整性,若某些验证代码存在疏忽,就很可能造成文件上传漏洞。例...
kali下安装使用AntSword
最新发布
Reset
06-27 880
AntSword)是一个webshell管理工具。官方文档:https://www.yuque.com/antswordproject/antsword
DVWA靶场系列(四)—— File Upload(文件上传)
qq_45612828的博客
07-12 5883
DVWA靶场系列(四)—— File Upload(文件上传)
DVWA-文件上传全等级绕过(一句话木马+中国菜刀+
热门推荐
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
12-13 1万+
DVWA文件上传前言一、low级别1.1 一句话木马1.2 中国菜刀使用1.3 二、Medium级别三、High级别四、Impossible级别 前言     文件上传漏洞是对于上传文件的类型内容没有进行严格的过滤检查,使得攻击者可以通过上传一些木马获取服务器的webshell,因此文件上传漏洞带来的危害通常都是致命的。 一、low级别 打开dvwaFile Upload     会看到有红色报错,具体解决办法请参考我的
DVWA——文件上传
m0_74426634的博客
04-07 1040
大部分的网站和应用系统都有上传功能,一些文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意PHP文件,并能够将这些文件传递给PHP解释器,就可以在远程服务器上执行任意PHP脚本。当系统存在文件上传漏洞时攻击者可以将病毒、木马、WebShell、其他恶意脚本或者是包含了脚本的图片上传到服务器,这些文件将对攻击者后续攻击提供便利。根据具体漏洞的差异,此处上传的脚本可以是正常后缀的PHP、ASP以及JSP脚本,也可以是篡改后缀后的这几类脚本。
Kali渗透测试(七)—— DVWA文件上传漏洞利用
Bulldozer_GD的博客
06-04 2132
Kali linux渗透测试—— 文件上传 一 简介: 上传的文件对应用程序构成了重大风险。 许多攻击的第一步是向要攻击的系统获取一些代码。 然后,攻击仅需要找到一种方法来执行代码。 使用文件上传可帮助攻击者完成第一步。 无限制文件上传的后果可能会有所不同,包括完整的系统接管,文件系统过载,将攻击转发到后端系统以及简单的破坏。 这取决于应用程序如何处理上传的文件,包括文件的存储位置。 主要利用方式 1.直接上传 webshell 2.修改文件类型上传 webshell:mimetype 文件头、扩展名 3.
DVWA通关必备软件集(DVWA、PHPStudy、SqlMap、BurpSuite、AntSword、Python、JRE)
05-30
Windows中DVWA通关必备软件集(DVWA、PHPStudy、SqlMap、BurpSuite、AntSword、Python、JRE),包含安装使用说明。 Windows中部署DVWADVWA、PHPStudy Windows中使用SqlMap:SqlMap、Python Windows中使用BurpSuite...
网络安全(渗透)DVWA靶场安装所需配置
07-10
这个是DVWA网络安全渗透靶场,这个是压缩包,此为靶场,不要看错了,学习网络安全或者是其他的渗透知识。靶场是必备的,一个好的靶场对学习知识起到了十分重要的作用,DVWA靶场是网络安全或者是渗透中必备的东西,...
DVWA网络安全靶场搭建与练习 附攻略和在线版
01-02
DVWA网络安全靶场搭建与练习 附攻略和在线版》 网络安全靶场是一种模拟真实网络环境,用于安全教育、训练和测试安全技能的平台。DVWA(Damn Vulnerable Web Application)是其中非常受欢迎的一个开源项目,专为...
网络安全实验一安装dvwa.docx
11-10
网络安全实验安装 DVWA.docx 本资源主要讲述了如何在 Win10 虚拟机中安装 DVWA(Damn Vulnerable Web Application),并进行基本配置,以便进行网络安全实验和测试。 知识点1:虚拟机的安装和配置 在安装 DVWA ...
DVWA-网络安全靶场.zip
02-13
这个靶场运行在web环境下,所以需要先安装web环境。可以使用集成环境安装,比如phpstudy,然后将这个文件解压放到网站根目录下,配置一下配置文件中数据库连接密码,然后在浏览器访问本地web服务即可。
DVWA网络安全
05-18
**DVWA网络安全** DVWA(Damn Vulnerable Web Application)是一个非常知名的开源Web应用程序,由Chris Evans创建,旨在帮助安全专业人员、开发人员和学生学习和理解常见Web应用程序安全漏洞。这个应用提供了各种...
DVWA之SQL注入解(包含知识点)
10-20
该文档是使用DVWA平台进行的SQL注入(low)级别的细操作和知识点分,包括什么是SQL注入,如何进行SQL注入,图文并茂,包含了几个非常不错的操作,解决了各种问题。
网络安全、web安全、渗透测试之笔试总结(二)
10-14
在这篇文章中,我们将对网络安全、Web 安全和渗透测试进行总结,涵盖对称加密、非对称加密、同源策略、Cookie 存储、XSS 攻击、TCP 和 UDP 的区别、SYN 攻击、证书考试、DVWA 搭建、渗透测试流程、IIS 服务器保护...
从零开始的DVWA靶机攻击经历(第三天)
qq1481011684的博客
05-20 107
从零开始的DVWA靶机攻击经历(第三天) file inclusion & file upload(low难度) file inclusion 登陆到file inclusion页面,观察url(http://192.168.142.132/DVWA/vulnerabilities/fi/?page=include.php)可以发现一些有价值的信息: include.php可能在 网站根目录/DVWA/vulnerabilities/fi下,因此我们尝试一下将url改成http://192.
DVWA —— File Upload 文件上传
YouTheFreedom的博客
05-23 370
文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严或webserver相关解漏洞未修复而造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过 Web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。 攻击者可通过此漏洞上传恶意脚本文件,对服务器的正常运行造成安全威胁!
网络安全入门】AntSword()实战解题
等风来
04-27 3389
[网络安全]AntSword()实战解题(入门)
DVWAFile Upload(文件上传)
RexHa的博客
10-02 2701
文件上传原理: 黑客利用文件上传后服务器解处理文件的漏洞上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。
DVWAFile Upload模块展开实验
06-10
好的,我可以为您提供一些关于DVWAFile Upload模块的实验步骤。首先,您需要了解一下DVWA是什么。DVWA(Damn Vulnerable Web Application)是一个用于练习网络渗透测试技能的虚拟机环境,其中包含多个漏洞,可供练习和学习。其中就包括File Upload模块。 以下是一些关于DVWAFile Upload模块的实验步骤: 1. 首先,您需要在本地安装DVWA,并启动它。您可以使用XAMPP等工具来安装和启动DVWA。 2. 登录到DVWA并选择File Upload模块。 3. 选择一个文件并上传。您可以尝试上传一些不同类型的文件,如图片、文本文件、PDF等。 4. 观察上传后的结果。如果上传成功,您应该能够看到一个已上传的文件列表,并且您上传的文件应该显示在列表中。 5. 试着上传一些恶意文件,如包含恶意代码的文件。观察上传后的结果并尝试分它们的影响。 6. 尝试绕过文件上传的限制。您可以尝试通过修改文件扩展名、使用特殊字符或修改HTTP报文来绕过文件类型和大小的限制。 7. 尝试利用文件上传漏洞进行攻击。您可以尝试上传一个包含Web Shell的文件,并尝试通过Web Shell来获取系统权限。 需要注意的是,您在进行实验时应该遵循法的道德和法律标准,不得以任何非法或不道德的方式使用这些技术。同时,您应该在安全的环境中进行实验,以避免对其他人或组织的系统造成损害。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值