DVWA攻略-02-File 包含/上传

最新推荐文章于 2024-08-26 13:32:26 发布
最新推荐文章于 2024-08-26 13:32:26 发布
阅读量558 收藏
点赞数
分类专栏: # DVWA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43901038/article/details/107359179
版权

文章目录

4.File Inclusion

参考文献:
文件包含漏洞

原理分析

File Inclusion,文件包含漏洞,目录遍历漏洞在国内外有许多不同的叫法,也可以叫做信息泄露漏洞、非授权文件包含漏洞等。

文件包含分类

  • LFI:本地文件包含(Local File Inclusion)
  • RFI:远程文件包含(Remote File Inclusion)
    与文件包含有关的函数

include():只有代码执行到该函数时才会包含文件进来,发生错误时只给出一个警告并继续向下执行。
include_once():和 include()功能相同,区别在于当重复调用同一文件时,程序只调用一次。
require():只要程序执行就包含文件进来,发生错误时会输出错误结果并终止运行。
require_once():和 require()功能相同,区别在于当重复调用同一文件时,程序只调用一次。

相关的 php.ini 配置参数

allow_url_fopen = on (默认开启)
allow_url_include = on (默认关闭)
远程文件包含是因为开启了 php 配置中的 allow_url_fopen 选项(选项开启之后,服务器允许包含一个远程的文件)。

4.1、low

源码赏析
<?php

// The page we wish to display
$file = $_GET[ 'page' ];

?>
start

没有任何判断,可以执行任何路径
本地用…/等路径查看文件,远程用http等查看文件。链接如下:

http://192.168.10.208:8081/DVWA-master/vulnerabilities/fi/?page=file2.php

4.2、medium

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
$file = str_replace( array( "http://", "https://" ), "", $file );
$file = str_replace( array( "../", "..\"" ), "", $file );

?>

由源代码可以发现,本文中过滤了http://、https://、../、..\ 字符,本地文件直接用绝对路径,相对路径可以用 ..././..././..././dvwa/fi,远程文件可以用 htthttp://p: ,如下:(这个我尝试了一下,没有试出来。)

http:/192.168.10.208:8081/DVWA-master/vulnerabilities/fi/?page=htthttp://p://127.0.0.1/phpinfo.txt

4.3、high

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Input validation
if( !fnmatch( "file*", $file ) && $file != "include.php" ) {
	// This isn't the page we want!
	echo "ERROR: File not found!";
	exit;
}

?>

从源代码可以看出,这里要求page参数的开头必须是file,服务器才会去包含相应的文件。然而可以利用file协议绕过防护策略。

http://www.dvwa.com/vulnerabilities/fi/?page=file:///F:/phpStudy/PHPTutorial/WWW/dvwa/php.ini

4.4、Impossiable

<?php

// The page we wish to display
$file = $_GET[ 'page' ];

// Only allow include.php or file{1..3}.php
if( $file != "include.php" && $file != "file1.php" && $file != "file2.php" && $file != "file3.php" ) {
	// This isn't the page we want!
	echo "ERROR: File not found!";
	exit;
}

?>

这里直接利用白名单进行拦截,除非修改文件内容,或者将文件设置为白名单中的文件(即发生了替换),否则将无法进行绕过

5.File Upload

5.1、low

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
	// Where are we going to be writing to?
	$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
	$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
	/*basename() 函数返回路径中的文件名部分。
	$_FILES['userfile']['name']客户端机器文件的原名称。*/


	// Can we move the file to the upload folder?
	if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
		// No
		$html .= '<pre>Your image was not uploaded.</pre>';
	}
	else {
		// Yes!
		$html .= "<pre>{$target_path} succesfully uploaded!</pre>";
	}
}

?>

由上可得,对于文件没有进行任何的过滤,因此可以对任意文件进行上传,无需过滤。
在这里插入图片描述

5.2、medium

在这里插入图片描述

这里利用白名单对于上传文件的后缀、大小、文件类型进行了过滤。即文件类型只能为jpeg或者png,大小只能为10000字节以内。在前端我们不能直接上传php文件,因此我们需要在后端进行修改绕过。

因此我们需要bp拦包,然后修改内容类型为 Image/png ,如下图,可见上传成功。
在这里插入图片描述

5.3、high

在这里插入图片描述
有源码可得,这里对上传的文件进行截取,以点最后一次出现的位置后面作为文件后缀,判断是否为jpg、jpeg、png文件并且大小是否小于100000字节。此时只能上传jpg、jpeg、png文件。

绕过方法:通过构造一句话图片木马,然后上传来绕过防御,然后结合php文件解析漏洞或者web中间件解析漏洞或者文件包含漏洞来达到解析含有php代码的png文件。

16进制00截断
在这里插入图片描述
仔细查看后发现%00截断需要PHP<5.3.4,实验环境为5.6.35所以无法利用。

图片后门
参考文件:DVWA & File Upload文件上传最详细绕过

做了一张图片隐藏后门fun.jpg
在这里插入图片描述
用16进制编辑器010editor实现,文件上传。
在这里插入图片描述

上传后可以正常访问,而此时我们的难题就是怎么让文件被解析而触发我们的后门

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=file://D:\phpstudy\WWW\DVWA\hackable\uploads\fun.jpg

在这里插入图片描述

发现文件被解析,下面我们菜刀连接就好了。
在这里插入图片描述

5.4、Impossiable

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
	// Check Anti-CSRF token
	checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );


	// File information
	$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
	//文件在上传者机器的文件名,即最开始的名字
	echo $uploaded_name."<br/>";
	$uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
	//上传文件的后缀名
	echo $uploaded_ext."<br/>";
	$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
	//上传文件的大小
	echo $uploaded_size."<br/>" ;
	$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
	//上传文件的类型
	echo $uploaded_type."<br/>";
	$uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];
	//文件上传到服务临时文件夹后的文件名
	echo $uploaded_tmp."<br/><br/><br/>";

	// Where are we going to be writing to?
	$target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
	echo DVWA_WEB_PAGE_TO_ROOT."<br/>";
	echo $target_path."<br/>";
	
	//$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
	
	$target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
	/*uniqid() 函数基于以微秒计的当前时间,生成一个唯一的 ID。*/
	echo $target_file."<br/>";
	
	$temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
	/*ini_get用来取php.ini文件里的环境变量的值,有时候我们也
	没有权限去修改php.ini文件,这时就用这个函数。
	sys_get_temp_dir():返回用于临时文件tem_file的目录*/
	echo "temp_file=".$temp_file."<br/>";
	
	$temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
	/* DIRECTORY_SEPARATOR 目录分隔符*/
	echo "temp_file=".$temp_file."<br/>";
	echo "DIRECTORY_SEPARATOR = ".DIRECTORY_SEPARATOR ."<br/><br/><br/>";

	// Is it an image?
	/*他是一个图片吗?*/
	if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
		( $uploaded_size < 100000 ) &&
		( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
		getimagesize( $uploaded_tmp ) ) {
		/*getimagesize()函数:用于获取图像大小及相关信息,成功返回一个数组,
		失败则返回 FALSE 并产生一条 E_WARNING 级的错误信息。*/
		echo getimagesize( $uploaded_tmp ) ."<br/>";

		// Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
		/*通过重新编码图像来剥离任何元数据
		(注意,建议使用php-GD建议使用php-Imagick)*/
		if( $uploaded_type == 'image/jpeg' ) {
			$img = imagecreatefromjpeg( $uploaded_tmp );
			/*imagecreatefromjpeg($file_name) 返回一图像标识符,
			代表了从给定的文件名取得的 jpg 图像。
			$filename为图片路径,即从某给定的路径中取出图片。*/
			echo "图片信息为".$img."<br/>";
			imagejpeg( $img, $temp_file, 100);
			/*imagejpeg(),以 jpg 格式输出图像到浏览器或文件;
			即输出之前的图像 $img 到 $temp_file文件夹,100保存图片的质量。
			一般是0~100,100为质量最大。*/
			echo imagejpeg( $img, $temp_file, 100)."<br/><br/><br/>";
			
		}
		else {
			$img = imagecreatefrompng( $uploaded_tmp );
			imagepng( $img, $temp_file, 9);
			echo "png图像信息为 ".imagepng( $img, $temp_file, 9);
		}
		imagedestroy( $img );
		/*imagedestroy():销毁图像*/

		// Can we move the file to the web root from the temp folder?
		/*我们可以将文件从temp文件夹移动到Web根目录吗?*/
		echo "oldname = ".$temp_file."<br/>";
		echo "newname = ".getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file."<br/>" ;
		echo "结束了。";
		if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
			/*rename($oldname,$newname)尝试着把oldname重命名为newname*/
			// Yes!
			$html .= "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
		}
		else {
			// No
			$html .= '<pre>Your image was not uploaded.</pre>';
		}

		// Delete any temp files
		if( file_exists( $temp_file ) )
			unlink( $temp_file );
	}
	else {
		// Invalid file
		$html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
	}
}

// Generate Anti-CSRF token
generateSessionToken();

?>
xor0ne_10_01
关注
专栏目录
DVWA文件包含文件上传
qq_44252141的博客
06-23 425
文件包含 LOW 利用page=file1.php 修改page=file4.php/page=../../hackable/flags/fi.php Medium 首先利用../../发现被置空,修改使用..././发现同样被置空 尝试..\..\发现未被置空 page=..\..\hackable/flags/fi.php page=.\file4.php <?php // The page we wish to display $file = $_GE
DVWA篇_文件上传
求大佬师傅带
05-25 1616
记一次DVWA文件上传漏洞复现
网络安全 DVWA通关指南 DVWA File Upload(文件上传
最新发布
YueXuan_521的博客
08-26 1213
网络安全 DVWA通关指南 DVWA File Upload(文件上传) payload。虽然我们上传的文件是PHP文件,但还是可以通过修改网页HTTP报文中文件类型,来绕过网页白名单检查。2、Low级别没有对上传的文件进行任何限制,我们可以直接上传一句话木马,然后使用中国蚁剑连接。2、使用Burp Suite抓取一句话木马文件上传的包,发现上传的PHP文件类型在包里。1、我们可以准备一张图片和一句话木马的文件,通过。1、使用白名单限制可以上传的文件扩展名。使用蚁剑连接一句话木马。
DVWA-File Upload(文件上传)
简简的博客
02-02 490
本系列文集:DVWA学习笔记 文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。 ###Low: 函数介绍: basename()函数返回路径中的文件名部分。 string basename ( string $path [, string $suffix ] ) 参数介...
DVWAFile Upload(文件上传
RexHa的博客
10-02 2764
文件上传原理: 黑客利用文件上传后服务器解析处理文件的漏洞上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。
DVWA靶场系列(四)—— File Upload(文件上传
qq_45612828的博客
07-12 5972
DVWA靶场系列(四)—— File Upload(文件上传
DVWA靶场--文件上传/包含(low-high).
Polaroid2的博客
10-12 509
仅用于技术分享。
DVWA-File Upload/文件上传漏洞
jammny
11-22 1118
前言 其实dvwa这个靶机在刚开始接触web安全的时候就已经玩过了,当时的版本应该是1.0.7,现在最新版本已经到1.9了。新增了PHPIDS像类似WAF的功能,刚开始打DVWA只是为了完成通关目标而打,现在回过头来拾起它,更觉得它是一个不错的渗透靶机。学习漏洞利用的同时,要明白该漏洞产生的原因是什么?如果给你一套php源码的话,你想测文件上传漏洞该从哪里切入?如果存在该漏洞怎么去修复?这些都是我接下来要思考和学习,也是我重新拿去dvwa的原因。 DVWA下载与安装: https://blog..
DVWA--file upload (文件上传
weixin_50342860的博客
08-23 1490
目录风险lowmediumhigh总结 风险 对上传的文件类型,内容没有进行严格的过滤、检查,使攻击者可以上传木马获取服务器webshell权限。 low 查看代码,对上传文件没有做任何的过滤措施 basename(path,suffix)函数:点这里 全局数组 $_FILES: 点这里 move_uploaded_file() 函数:点这里 1. 写一句话木马1.php上传 <?php @eval($_POST['hello']); ?> 2. 上传成功,给出了上传文件路径,访问获
DVWA系列---File Upload 文件上传漏洞
野原新之助
01-27 526
文章目录一、前言二、Low级别1、演示三、Medium级别四、High级别 一、前言 文件上传漏洞是指: 服务器对用户上传的文件没有进行严格过滤,导致用户上传了一些危险文件(如一句话木马的php文件),然后访问这些危险文件,对服务器造成控制或破坏。 预防方法: 1、对用户可上传的文件类型及进行严格控制,设置白名单,防止用户上传危险文件; 2、对上传的文件进行文件名转换,防止用户直接访问到上传的文件...
DVWA】--- 四、文件包含(File Inclusion)
qq_43168364的博客
05-31 544
sh
DVWA文件包含上传,sql注入靶场
iczfy585的博客
08-07 271
文件包含 什么是文件包含? 在php中文件包含主要是指调用了include(); include_once(); require(); require_once()函数。这些函数能够将包含的文本当做php代码去执行,而不管该文本是不是以php为扩展名的。文件包含可以分为本地文件包含()和远程文件包含。区别在于远程文件包含需要将php.ini文件中的 allow_url_fopen设置为On(默认...
DVWA通关攻略(适合新手)
夜思红尘的博客
04-12 9304
这里是关于网络安全入门的靶场DVWA,适合新手
DVWA通关攻略_DVWA通关教程(上)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-08 797
DVWA是一款基于PHP和mysql开发的web靶场练习平台,集成了常见的web漏洞如sql注入,xss,密码破解等常见漏洞。本教程将以DVWA为例,演示常见的web漏洞的利用和攻击。 DVWA通关攻略要下创建数据库,登录创建数据库(账号为admin,密码为password) 登录后界面 在dvwa security选项中,可以调整dvwa的难易程度, Brute Force(暴力破解)DVWA Brute Force即为暴力破解,通过枚举获取管理员的账号和密码,在实际的操作中,一般用来破解后台管理系统的登
dvwa中的文件包含文件上传
qq_45653152的博客
05-21 821
文件包含文件上传 文件包含:程序开发人员一般会把重复使用的函数写到单个文件中,需要使用某个函数时直接调用此文件,而无需再次编写,这中文件调用的过程一般被称为文件包含。 文件包含实验前必须将我们的PHP.ini中的allow_url_fopen和allow_url_include打开,即开启远程读取和本地包含。 Low等级: 查看源代码,从源码中可以看出,服务器对参数page并没有做任何的过滤操作 服务器期望用进行的操作是点击file1.php、file2.php、file3.php三个文件,服务器包含这三
DVWA部分通关攻略(持续更新)
2301_80470992的博客
02-03 1491
先查看源码可以直接爆破,用burpsuit抓包随便输入一组用户名和密码。先把所有变量全部清除然后分别用字典使用爆破。先爆破用户名找到长度不同的部分,密码依照上述过程得到密码为password,用户名为admin。
DVWA文件上传
qq_62078839的博客
04-03 3654
LOW 直接上传小马,上传成功 使用phpinfo();验证小马的可用性 <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FILES[ 'uploaded' ][ 'na..
DVWA-文件上传
Xiayuyuren_Study的博客
06-05 6097
概述 文件上传漏洞是指服务器对于用户上传的部分控制不严格导致攻击者可上传一个恶意的可执行文件至服务器,简单点就是用户直接或通过各种绕过方式将webshell上传至服务器进而执行利用 攻击原理: 1.web容器的解析漏洞 2.配合解析漏洞进行waf绕过和上传木马。 Apache的文件解析漏洞,比如现在我们有一个1.php.rar.xx.kk的文件,那么服务器会报错吗?答案是否定的,Apache有自己...
dvwa file inclusion和file upload
05-12
其中包括文件包含File Inclusion)和文件上传File Upload)两种漏洞。 文件包含漏洞是指Web应用程序未对用户输入的文件路径进行充分验证,导致攻击者能够构造恶意的文件路径来读取、执行或删除服务器上的敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值