DVWA练习五、File Upload
File Upload
File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞
下面对不同级别的代码进行分析。
Low
服务器端核心代码
Your image was not uploaded.{$target_path} succesfully uploaded!";
}
}
?>
basename() 函数返回路径中的文件名部分。如果可选参数suffix为空,则返回的文件名包含后缀名,反之不包含后缀名。
basename(path,suffix)
参数 |
描述 |
path |
必需。规定要检查的路径。 |
suffix |
可选。规定文件扩展名。如果文件有 suffix,则不会输出这个扩展名。 |
漏洞利用
文件上传漏洞的利用是有限制条件的,首先当然是要能够成功上传木马文件,其次上传文件必须能够被执行,最后就是上传文件的路径必须可知。不幸的是,这里三个条件全都满足。
上传文件test.php(一句话木马)
使用菜刀一句话进行连接、然后菜刀就会通过向服务器发送包含apple参数的post请求,在服务器上执行任意命令,获取webshell权限。可以下载、修改服务器的所有文件。
Medium
服务器端核心代码
Your image was not uploaded.{$target_path} succesfully uploaded!";
}
}
else {
// Invalid file
echo 'Your image was not uploaded. We can only accept JPEG or PNG images.'; } } ?>
可以看到,Medium级别的代码对上传文件的类型、大小做了限制,要求文件类型必须是jpeg或者png,大小不能超过100000B(约为97.6KB)。
1、这里直接上传test.php显示失败,只允许上传JPEG或PNG
这里使用burpsuit进行抓包改包。更改Content-Type:
把Content-Type: application/octet-stream更改为Content-Type:image/png
可以看到文件上传成功,然后使用菜刀进行连接
2、00截断绕过规则
在php版本小于5.3.4的服务器中,当Magic_quote_gpc选项为off时,可以在文件名中使用%00截断,所以可以把上传文件命名为hack.php%00.png。可以看到,包中的文件类型为image/png,可以通过文件类型检查。
High
服务器端核心代码
Your image was not uploaded.{$target_path} succesfully uploaded!";
}
}
else {
// Invalid file
echo 'Your image was not uploaded. We can only accept JPEG or PNG images.'; } } ?>
函数介绍:
strrpos(string,find,start)
函数返回字符串find在另一字符串string中最后一次出现的位置,如果没有找到字符串则返回false,可选参数start规定在何处开始搜索。
getimagesize(string filename)
函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头,函数会报错。
可以看到,High级别的代码读取文件名中最后一个”.”后的字符串,期望通过文件名来限制文件类型,因此要求上传文件名形式必须是”*.jpg”、”*.jpeg” 、”*.png”之一。同时,getimagesize函数更是限制了上传文件的文件头必须为图像类型。
漏洞利用:
1、抓包利用00截断test.php%00.png,和上面方法一样
2、制作图片一句话
· 图片木马:copy test.jpg/b + x.php/a xxx.jpg
打开一句话图片木马xxx.jpg可以查看到php一句话
然后上传图片,使用菜刀连接
2、 这里还可以结合文件包含漏洞进行解析
http://192.168.2.92/DVWA/vulnerabilities/fi/?page=file://D:/phpstudy/WWW/DVWA/hackable/uploads/xxx.jpg
使用菜刀进行连接,连接成功
3、phpstudy 切换为nginx,设置php.inicgi.fix_pathinfo=1
例如nginx解析漏洞:畸形解析 xxx.xxx/x.php 只要前面一个文件存在,就会把前面文
件当做php文件进行解析
Impossible
服务器端核心代码
${target_file} succesfully uploaded!Your image was not uploaded.'; } // Delete any temp files if( file_exists( $temp_file ) ) unlink( $temp_file ); } else { // Invalid file echo '
Your image was not uploaded. We can only accept JPEG or PNG images.'; } } // Generate Anti-CSRF token generateSessionToken(); ?>
函数介绍:
n_get(varname)
函数返回相应选项的值
imagecreatefromjpeg ( filename )
函数返回图片文件的图像标识,失败返回false
imagejpeg ( image , filename , quality)
从image图像以filename为文件名创建一个JPEG图像,可选参数quality,范围从 0(最差质量,文件更小)到 100(最佳质量,文件最大)。
imagedestroy( img )
函数销毁图像资源
可以看到,Impossible级别的代码对上传文件进行了重命名(为md5值,导致%00截断无法绕过过滤规则),加入Anti-CSRF token防护CSRF攻击,同时对文件的内容作了严格的检查,导致攻击者无法上传含有恶意脚本的文件。
漏洞修复:
阻止上传:
1、文件类型白名单
2、文件类型content-type:文件类型校验
3、文件头部的判断
阻止非法文件执行
1、文件重命名
2、文件压缩重生
3、存储目录执行文件权限
4、存储目录和web分离,达到占库分离