DVWA 之 File Upload(文件上传)

最新推荐文章于 2024-04-24 10:48:01 发布
最新推荐文章于 2024-04-24 10:48:01 发布
阅读量2.5k 收藏 21
点赞数 5
分类专栏: DVWA靶场 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51683653/article/details/127140652
版权

目录

1、级别:Low

 2、级别:Medium

3、级别:High 

 

什么是文件上传漏洞?

黑客利用文件上传后服务器解析处理文件的漏洞上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。

造成文件上传漏洞的原因:

1.服务器配置不当

2.开源编辑器上传漏洞

3.本地文件上传限制被绕过

4.过滤不严格被绕过

5.文件解析漏洞导致文件执行

6.文件路径截断

1、级别:Low

源代码:

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}

?>

basename(path,suffix)
函数返回路径中的文件名部分,如果可选参数suffix为空,则返回的文件名包含后缀名,反之不包含后缀名。 

服务器对上传的文件并没有做任何的检查和过滤,我们创建一个新文件并上传

 

 修改路径为http://192.168.101.66/bachang/DVWA-master/hackable/uploads/1.php,查看我们上传的文件

代码被执行,证明存在漏洞。我们试试写一句话木马进行上传 

上传成功啦!

 

再用蚁剑进行连接 (连接密码为123)

 这样我们就可以在服务器上执行任意命令,获取webshell权限,进入网站后台。可以下载、修改服务器的所有文件。

 2、级别:Medium

源代码:

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

发现,程序对上传的文件类型和文件大小做了限制,文件类型必须为image/jpeg和image/png,且文件大小要小于100000b,也就是我们之前的php文件已经无法成功上传了。

(1)利用bp抓包修改Content-Type类型

 上传成功!

 (2)使用00截断绕过

%00截断绕过,此时,服务器会将low.php%00.png认为其文件名为low.php,解析为PHP文件(仅限于PHP版本小于5.3.4的版本)

        谈到00截断我们都会想到,有什么0x00截断,%00截断,也有人对两个东西分析一大堆,那么它俩有什么区别呢,什么场合适用哪一个呢?这就要从00截断的原理说起:
其实截断的原理也很简单,无论0x00还是%00,最终被解析后都是一个东西:chr(0)
chr()是一个函数,这个函数是用来返回参数所对应的字符的,也就是说,参数是一个ASCII码,返回的值是一个字符,类型为string。
        那么chr(0)就很好理解了,对照ASCII码表可以知道,ASCII码为0-127的数字,每个数字对应一个字符,而0对应的就是NUT字符(NULL),也就是空字符,而截断的关键就是这个空字符,当一个字符串中存在空字符的时候,在被解析的时候会导致空字符后面的字符被丢弃。
        这种情况常出现在ASP程序中,PHP 版本<5.3.4时也会有这个情况,JSP中也会出现。
那么就可以知道00截断的原理了,在后缀中插入一个空字符(不是空格),会导致之后的部分被丢弃,而导致绕过的发生。如:在文件1.php.jpg中插入空字符变成:1.php.0x00.jpg中,解析后就会只剩下1.php,而空字符怎么插入的呢?通常我们会用Burp抓包后,在文件名插入一个空格,然后再HEX中找到空格对应的16进制编码“20”,把它改成00(即16进制ASCII码00,对应十进制的0),就可以插入空字符了。PS:这里的空格纯粹只是一个标记符号,便于我们找到位置,其实这里是什么字符都无所谓,只不过空格比较有特异性,方便在HEX中查找位置

具体操作参考:DVWA靶场-文件上传漏洞_嘿-零一的博客-CSDN博客_dvwa文件上传漏洞

 

3、级别:High 

源码:

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

 strrpos(string , find ,start)  查找find字符在string字符中的最后一次出现的位置,start参数可选,表示指定从哪里开始

substr(string,start,length) 返回string字符中从start开始的字符串,length参数可选,表示返回字符的长度

strtolower(string) 返回给定字符串的小写

getimagesize(string) 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型和一个可以用于普通 HTML 文件中 IMG 标记中的 height/width 文本字符串。如果不能访问 filename 指定的图像或者其不是有效的图像,getimagesize() 将返回 FALSE 并产生一条 E_WARNING级的错误。所以 getimagesize函数的作用是判断上传的文件是不是有效的图片

move_uploaded_file(file,newlocal) 函数表示把给定的文件移动到新的位置

High级别采用白名单过滤的方式,只允许上传的文件后缀名为jpg、jpeg、png且文件大小小于100000字节,同时上传的文件必须是有效的图片格式(不只是以图片的格式结尾,而且文件内容是图片格式的)

我们在文件头部加上了jpg格式的 GIF89  (文件不能有空格,不然就像我一样上传不成功了)

 后缀名也改为jpg

上传成功

 

 修改url为:http://192.168.101.66/bachang/DVWA-master/vulnerabilities/fi/?page=file:///H:\CTF\PHPstudy\PHPTutorial\WWW\bachang\DVWA-master\hackable\uploads\1.jpg

 同理如果上传的是一句话木马,可直接用蚁剑连接拿到shell

 

RexHarrr
关注
  • 5
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DVWA--file upload文件
weixin_50342860的博客
08-23 1339
目录风险lowmediumhigh总结 风险 对上文件类型,内容没有进行严格的过滤、检查,使攻击者可以上木马获取服务器webshell权限。 low 查看代码,对上文件没有做任何的过滤措施 basename(path,suffix)函数:点这里 全局数组 $_FILES: 点这里 move_uploaded_file() 函数:点这里 1. 写一句话木马1.php上 <?php @eval($_POST['hello']); ?> 2. 上成功,给出了上文件路径,访问获
文件upload-labs(一)
01-08
使用xampp、phpstudy、docker搭建upload-labs,三者都可,docker最方便但是我不是太熟悉,xampp安装的时候有很多工序,所以我选择的是phpstudy搭建了靶机环境,个人觉得学习文件dvwa好一点,这个用来训练和...
DVWA——文件
m0_74426634的博客
04-07 951
大部分的网站和应用系统都有上功能,一些文件功能实现代码没有严格限制用户上文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上任意PHP文件,并能够将这些文件递给PHP解释器,就可以在远程服务器上执行任意PHP脚本。当系统存在文件漏洞时攻击者可以将病毒、木马、WebShell、其他恶意脚本或者是包含了脚本的图片上到服务器,这些文件将对攻击者后续攻击提供便利。根据具体漏洞的差异,此处上的脚本可以是正常后缀的PHP、ASP以及JSP脚本,也可以是篡改后缀后的这几类脚本。
5、DVWA——文件
qq_55202378的博客
09-11 668
DVWA 文件
文件与包含漏洞综合利用】DVWA-文件-难度:High
最新发布
Mr_Fmnwon的博客
04-24 1032
一方面,(任意)文件漏洞指的是上非预期的文件格式(如php文件)到目标服务器,而通过其他方式(直连、包含等)进行执行来进一步利用。另一方面,利用文件包含漏洞,能够把静态文件中的php代码通过回显转发的方式进行包含执行。过程中遇到很多问题:1.high的包含漏洞保护措施没有关注 2.一些jpeg/png图片被解析时,自身的一些字符会被错误识别为php代码,而往往会导致语法错误,通过copy到最后的。可以推测,检查是否为JPEG/PNG图,是依靠文件的后缀、文件头字段信息来进行双重检测的。
DVWA-文件File Upload
weixin_58954236的博客
08-20 419
指由于程序员在对用户文件部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上可执行的动态脚本文件。这里上文件可以是木马,病毒,恶意脚本或者WebShell等。“文件”本身没有问题,有问题的是文件后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
dvwa中的文件漏洞
无痕的博客
01-12 7406
dvwa漏洞环境演示文件漏洞
文件DVWA文件攻略
wj33333的博客
11-17 394
通过源码分析我们可以看到,他对上文件类型进行过滤,只允许image/jpeg和image/png文件,否则不成功,但是他没有审核内容,所以我们使用图片木马轻松绕过,配合中国蚁剑拿到权限.我们通过源码可以看到对于文件没有做任何过滤,允许所有文件进行上.所有我们使用一句话木马,配合中国蚁剑就能成功拿到权限.我们要修改图片后缀为php,(因为要和中国蚁连接)放包.但是我们已经将木马图片上成功,所以尝试使用文件包含。或者上图片抓包.将一句话木马写到图片后面。上图片木马成功了.
DVWA靶场之文件通关详解
qq_62169455的博客
06-27 1396
通过查看该等级的源码,可以看到该等级对上文件没有任何限制和过滤,存在明显的上漏洞,成功上后就会显示出路径+successfully uploaded 上失败则会提示your image was not uploaded。然后访问dvwa文件中的uploads对应的文件位置D:\phpstudy_pro\phpstudy_pro\WWW\DVWA\hackable\uploads,就可以看到刚刚上的muma.php已经上成功。最后使用蚁剑连接,出现如图所示界面,到这里,medium就完成了。
文件漏洞超详细解析(DVWA
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-09 1415
当然了,代码还有很多种写法,这只是比较简单的一种,一些特殊情况下还要使用别的写法。
DVWA-DVWA渗透测试平台文件
03-07
DVWA全称为Damn Vulnerable Web Application,意为存在糟糕漏洞的web应用。它是一个基于PHP/MySQL开发的存在糟糕漏洞的web应用,旨在为专业的安全人员提供一个合法的环境,来测试他们的工具和技能。帮助web开发人员...
DVWA靶场环境依赖文件
10-11
文件来着官网下载,需要的uu可以下载,方便DVWA靶场环境搭建
DVWA的压缩文件安装包下载
09-30
DVWA 适合与PHPstudy合用 用于建立靶场,网络安全的相关学习
PHP及DVWA文件
07-28
PHP及DVWA文件包,内有phpstudy_x64_8.1.1.3及DVWA-master,DVWA解压可直接用。 DVWA页面登陆用户为root,密码为123456
DVWAFile Upload
过期的秋刀鱼
08-16 538
当用户在在文件的功能模块处上文件时,如果WEB应用在文件过程中没有对文件的安全性进行有效的校验,攻击者可以通过上WEBshell等恶意文件对服务器进行攻击,这种情况下认为系统存在文件漏洞,根据上文件存放位置不同,上后对文件操作不用,可能会导致不一样的结构,包括完全控制系统,覆盖服务器文件等等。文件漏洞的利用分两步,第一需要能上恶意文件,第二,恶意文件需要被触发,通过服务端自动运行触发或者攻击者配合其他漏洞手动触发。上成功,给出了上文件路径,使用蚁剑连接一句话木马。
[网络安全]DVWAFile Upload—AntSword(蚁剑)攻击姿势及解题详析合集
热门推荐
等风来
04-29 1万+
由于jpg是不被解析的,所以需要抓包将文件格式修改为php等。如下图,将filename="qiu.jpg"修改为filename="qiu.php"将路径与URL拼接,连接蚁剑。
DVWA靶场--文件漏洞(low、medium、high等级)
c_programj的博客
04-16 7733
dvwa靶场实践-低中高三个安全等级安全等级:Low安全等级:Medium安全等级:High 关于Webshell Webshell常常被称为入侵者通过网站端口对网站服务器的某种程度上操作的权限。 小马:一句话木马也称为了小马,即整个shell代码量只有一行,一般是系统执行函数。 大马:代码量和功能比小马多,一般会进行二次编码加密,防止被安全防火墙/入侵系统检测到。 shell2.php #eval使用php函数,例如phpinfo( ) <?php eval($_REQUEST[‘cmd’]);?
dvwa靶场文件high
W286734的博客
01-25 1532
合成图片码的方法此链接的最下面的部分上图片码尝试连接这里因为图片为png格式无法解析但是有的图片码是可以直接解析。此时我们可以利用dvwa文件包含low那一关尝试,因为在文件包含漏洞中会把不是php格式的文件也按照php文件解析。
DVWA-File Upload
qq_45751902的博客
04-25 363
目录简介安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible 简介 概念 File Upload,即文件漏洞,通常是由于对上文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上木马获取服务器的webshell权限; 这里上文件可以是木马,病毒,恶意脚本等。这种攻击方式是最为直接和有效的,“文件”本身没有问题,有问题的是文件后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果; 文件漏洞的前提条件 能上
dvwa file inclusion和file upload
05-12
DVWA(Damn Vulnerable Web Application)是一个用于演示Web应用程序安全漏洞的教育性平台。其中包括文件包含(File Inclusion)和文件File Upload)两种漏洞。 文件包含漏洞是指Web应用程序未对用户输入的文件路径进行充分验证,导致攻击者能够构造恶意的文件路径来读取、执行或删除服务器上的敏感文件。攻击者可以通过这种方式获取服务器上的重要信息,甚至能够获取Web应用程序的所有权限。 文件漏洞是指Web应用程序未对上文件进行充分验证和过滤,导致攻击者能够上恶意文件并执行任意代码。攻击者可以通过这种方式获取服务器上的敏感信息、修改文件内容,甚至能够控制整个Web应用程序。 在DVWA中,可以通过模拟这两种漏洞,来帮助开发者、安全研究人员和测试人员了解和学习如何发现和修复这些漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RexHarrr

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值