【DVWA】File Upload

最新推荐文章于 2024-10-12 09:15:00 发布
最新推荐文章于 2024-10-12 09:15:00 发布
阅读量247 收藏 1
点赞数 1
分类专栏: unsafefileupload
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43665434/article/details/114268395
版权

【DVWA】File Upload

一、low级别

1、测试流程

上传一张图片:

image-20210301143751573

如图所示,上传成功!

上传冰蝎木马:

image-20210301145206316

如图所示,上传成功!

image-20210301145610375

成功getshell.

2、源码分析

 <?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; //设置文件上传的路径
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); //在上传的目录下加上uploaded传来的文件名

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {     //移动文件到指定路径
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}

?>

从上面的源码可以看出,文件在上传时并没有对文件的类型、大小、内容等做过滤和限制,存在明显的文件上传漏洞。

二、Medium级别

1、测试流程

  • 上传一张图片

image-20210301150537408

上传成功!

尝试上传冰蝎的大马shell.php

image-20210301151857669

上传失败

  • 尝试更改数据包content-type字段内容

    image-20210301152705220

    image-20210301152719828

    上传成功!

    然后用冰蝎链接即可getshell.

2、源码分析

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];  //获取上传文件的name
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];  //获取上传文件的类型,通过MIME判断
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];  //获取上传文件的大小

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {
    //采用白名单过滤的方式,只接受.jpeg,.png的图片文件,并且文件大小设置在100000以内
        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

代码审计可以发现,后端对上传文件的类型的大小做了限制,但文件类型是通过MIME获取的,所以用burp抓包后直接更改文件类型(content-type字段)即可绕过。

三、high级别

1、测试流程

上传一张图片

image-20210301154146764

上传成功!

更改数据包的content-type字段,仍然上传失败。

于是制作图片木马:

image-20210301160904224

image-20210301161529142

image-20210301161921365

尝试上传:

image-20210301161944448

上传成功!

但由于文件是图片格式,无法直接执行,需要借助其他漏洞。

漏洞利用思路:

1、利用命令注入漏洞将muma.png的后缀改为php,再用菜刀连接

2、利用文件包含漏洞包含muma.png,再用菜刀连接。

image-20210301162442801

2、源码分析

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

strrpos()函数:函数查找字符串在另一字符串中最后一次出现的位置。

substr() 函数:返回字符串的一部分。substr(string,start,length) length为可选

strtolower() 函数:把字符串转换为小写。

getimagesize() 函数:用于获取图像大小及相关信息,成功返回一个数组,失败则返回 FALSE 并产生一条 E_WARNING 级的错误信息。

由此可知,后端代码对上传的文件后缀进行白名单过滤,用getimagesize()函数二进制检测图片头部信息,然后对文件大小也进行了限制。绕过方法:制作图片木马,借助其他漏洞getshell

四、impossible级别

源码分析

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );


    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;   //更改文件名
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext; 
    //创建文件位置

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);  //重新创建图片文件
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
        imagedestroy( $img );

        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!  //更改文件路径
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }

        // Delete any temp files
        if( file_exists( $temp_file ) )  //删除其他的临时文件
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();   //预防CSRF攻击

?>

uniqid() 函数:基于以微秒计的当前时间,生成一个唯一的 ID。

ini_get(varname)函数:获取一个配置选项的值,成功是返回配置选项值的字符串,null 的值则返回空字符串。如果配置选项不存在,将会返回 false。注: upload_tmp_dir 的这个参数为上传文件的临时目录。

sys_get_temp_dir()函数:返回默认情况下PHP将临时文件存储在其中的目录的路径。

imagecreatefromjpeg(filename)函数: 返回一图像标识符,代表了从给定的文件名取得的图像。

jmagejpeg(image, filename, quality)函数:从image图像以filename为文件名创建一个JPEG图像,可选参数quality,范围从 0(最差质量,文件更小)到 100(最佳质量,文件最大)。

imagedestroy(resource $image)函数:在图像的所有资源使用完毕后,通常需要释放图像处理所占用的内存。在 PHP 中可以通过 imagedestroy() 函数来释放图像资源,$image 为要释放的图像资源。

rename(oldname,newname,context)函数:重命名文件或目录。context可选,规定文件句柄的环境。

getcwd()函数:获取当前工作目录。

file_exists(文件指定路径) 函数:检查文件或目录是否存在,如果指定的文件或目录存在则返回 true,否则返回 false。

unlink(文件指定路径) 函数:删除文件。若成功,则返回 true,失败则返回 false。

可以看到,Impossible级别的代码对上传文件进行了重命名(为md5值,导致%00截断无法绕过过滤规则),加入Anti-CSRF token防护CSRF攻击,同时上传成功后作不显示文件上传的路径,导致攻击者无法连接上含有恶意脚本的图片文件。而且似乎将图片重做了,在上传的图片文件中也找不到恶意脚本了。

DVWA-File Upload(文件上传)
MzHeader的博客
03-22 465
DWVA-File Upload(文件上传) 介绍 文件上传漏洞可以说是危害很大了,因为可以直接通过此漏洞getshell。漏洞原因简单点说就是由于开发人员或者网站运维人员的一些失误导致用户上传的文件可以被服务器当作脚本(可执行文件)解析执行。但是想要成功利用这个漏洞至少需要满足三个条件: A.有效上传点 B.上传文件能够被解析执行 C.上传的文件能够被访问到 low 由于我是搭建在phpstud...
代码审计——DVWA File Upload文件上传
z1756227332的博客
03-10 411
Low等级代码 <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FILES...
DVWA-File Upload
qq_45751902的博客
04-25 402
目录简介安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible 简介 概念 File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限; 这里上传的文件可以是木马,病毒,恶意脚本等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果; 文件上传漏洞的前提条件 能上传木
DVWA | Files Upload文件上传)通关笔记
最新发布
qq_44846097的博客
10-12 831
**文件上传漏洞**是网络安全中常见的漏洞之一,攻击者可以利用该漏洞上传恶意文件,进而在服务器上执行恶意代码、绕过权限验证或获取敏感数据。文件上传漏洞主要发生在允许用户上传文件的Web应用程序中,比如图像、文档上传功能等。
DVWA——File Upload
qq_41007744的博客
05-23 335
File UploadLow&lt;?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basenam...
DVWA-File Upload(Medium)
七月_的博客
10-23 341
文章目录File Upload(Medium)代码分析 File Upload(Medium) 代码分析 ```php <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/u...
DVWA靶场系列(四)—— File Upload文件上传
qq_45612828的博客
07-12 6107
DVWA靶场系列(四)—— File Upload文件上传
DVWA--file upload文件上传
weixin_50342860的博客
08-23 1532
目录风险lowmediumhigh总结 风险 对上传的文件类型,内容没有进行严格的过滤、检查,使攻击者可以上传木马获取服务器webshell权限。 low 查看代码,对上传文件没有做任何的过滤措施 basename(path,suffix)函数:点这里 全局数组 $_FILES: 点这里 move_uploaded_file() 函数:点这里 1. 写一句话木马1.php上传 <?php @eval($_POST['hello']); ?> 2. 上传成功,给出了上传文件路径,访问获
3、DVWA:FILE UPLOAD
qq_44598397的博客
09-25 206
3、FILE UPLOAD (1)LOW1、这段代码的核心就是验证是否有接收文件**($_POST[‘Upload’])然后组合文件根路径成为target_path就是目标路径。 $target_path = DVWA_WEB_PAGE_TO_ROOT.“hackable/uploads/”; (上面的作用:DVWA_WEB_PAGE_TO_ROOT=D:\phpstudy\WWW\DVWA $t...
DVWA File upload& 一句话木马
young‘s blog
07-10 2458
一句话木马是什么: 例如:<?php @eval($_POST[young]);?> @的意思就是后面是啥东西执行时都不要报错 把eval 里面的字符串当作代码执行 $_POST[young] 超全局变量 用young参数把需要执行的语句传进去,然后通过eval里去执行这个语句,达到了目的。 例如需要输出young 在这里要注意几个问题,首先就是在语句的最后要加上;作为语句的结束。 在...
DVWA文件上传漏洞(File Upload
qq_54537919的博客
06-27 643
DVWA文件上传漏洞(File Upload
DVWAFile Upload (文件上传漏洞)
热门推荐
谢公子的博客
09-30 2万+
目录 Low: Medium: 方法一:抓包修改文件的type 方法二:00截断 High: Impossible : Low: 源代码: <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PA...
DVWA】——File Upload文件上传
HinsCoder的博客
09-15 997
文件上传漏洞是由于对上传文件未作过滤或过滤机制不严(文件后缀或类型),导致恶意用户可以上传脚本文件,通过上传文件可达到控制网站权限的目的。
DVWA靶场-----FIle Upload文件上传
m0_65712192的博客
11-14 3488
DVWA靶场-----FIle Upload文件上传
DVWA-文件上传File Upload
weixin_58954236的博客
08-20 907
指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
关于DVWA-FileUpload
weixin_30713953的博客
07-09 142
0x01:文件上传漏洞   1.首先测试low级别     low级别未对上传的文件进行任何验证。所以可以直接上传PHP或者asp一句话木马。此例采用php.     step1:先创建一个一句话木马:          step2:然后上传,然后就可以看到回显的路径;          step3:此时就可以用菜刀连接了,菜刀界面右键,然后点击添加。然后填写相关的数据,如下图: ...
DVWA学习之File Upload文件上传
weixin_40950781的博客
08-18 1137
DVWA学习之File UploadFile Upload文件上传)0x01 何为文件上传漏洞?0x02 low级别0x03 medium级别0x04 high级别0x05 impossible级别0x06 文件上传漏洞技巧0x07 文件上传漏洞的使用条件0x08 中国菜刀的原理0x09 文件上传漏洞的防范 File Upload文件上传) 0x01 何为文件上传漏洞? File Upload...
DVWA--FileUpload
weixin_45038413的博客
05-09 498
Low 等级 上传正常图片 https://dvwa.practice.rois.io/vulnerabilities/upload/ + …/…/hackable/uploads/1.jpg =https://dvwa.practice.rois.io/hackable/uploads/1.jpg 上传一句话木马 连接AntSword Medium 等级 上传php文件失败,显示只允...
DVWA靶场-File Upload 文件上传
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
06-05 1523
往期博文: DVWA靶场-Brute Force Source 暴力破解 DVWA靶场-Command Injection 命令注入 DVWA靶场-CSRF 跨站请求伪造 DVWA靶场-File Inclusion 文件包含 靶场环境搭建 https://github.com/ethicalhack3r/DVWA [网络安全学习篇附]:DVWA 靶场搭建 目录 File Upload Low File Upload 核心代码 Medium File Upload 核心代码.
dvwa file inclusion和file upload
05-12
其中包括文件包含(File Inclusion)和文件上传File Upload)两种漏洞。 文件包含漏洞是指Web应用程序未对用户输入的文件路径进行充分验证,导致攻击者能够构造恶意的文件路径来读取、执行或删除服务器上的敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>