DVWA文件上传漏洞（medium）

DVWA文件上传漏洞

2018/4/6        criedcat

 

***本文需要知道%00截断是怎么个一回事。整体上的思路无非就是上传一个隐藏的木马，然后用菜刀链接***

 

****网络有文章说，%00截断出现在php5.3.4之前版本，但是我的测试环境是5.4.45，却依然可以用%00截断；笔者不知道是否和服务器有什么关系*****

 

首先介绍一下，dvwa是我们平常很熟悉的一个php漏洞集成平台。笔者常用来学习的开源平台就是BWAPP，DVWA，DEDECMS。在这篇文章中笔者将会讲到如何在DVWA这上面进行文件上传木马。level为中，高。

 

首先进行环境介绍，虚拟机win2003，装有phpstudy；真实机，win10最新版（昨天才更新），用火狐浏览器。

 

首先，我的虚拟机开启了“仅主机”模式。

如图，真实机中VMnet1网关192.168.135.1，子网掩码：255.255.255.0；

所以，经过虚拟机网络编辑器的调整后，虚拟机的ip调为192.168.135.128.此时两个系统可以正常通信。

 

-------------------------------------------------后台设置------------------------------------------------------------------

 

 

dvwa比较特殊，因为它纯粹是客户端就能进行后台的设置。比如level的高中低。以下的行为虽然发生在客户端的我进行的设置，但是我依然把以下的行为归类为后台设置。

http://192.168.135.128/dvwa/login.php

我们访问上述URL，

登入，在下图左侧点击左侧“文件上传”

 

在安全级别为low的情况下，我们可以直接上传一个php木马就行（dvwa对上传的大小有限制，我们上传的文件最好不要超过70KB）

但是，这未免太简单了。笔者将会在level=mideum的环境下上传木马，然后用菜刀链接。

在下图我将安全级别设置为了中。

 

 -------------------------------------------------------------------入侵---------------------------------------------------

 很好，我们设置完了作为后台的虚拟机的一切。

接下来，我们开始入侵。

我们登入上图，接下来就是想办法上传php的木马。

笔者将本人的美照贡献了出来。

先将jpg写成php，看看能否上传。

左上角有结果。

然后笔者试试能不能上传空白文本，后缀.jpg

上传成功。（其实我想看到他失败，因为很多情况下，这样上传必须加gif890才能成功）

看来服务器只检测后缀名是否是.jpg了，而不检测文件的内容。

（如果检测内容，需要在文件前面写gif890，如果扫描木马，需要二进制或者copy命令写木马；）

在这里，我直接用菜刀把服务端代码放到jpg文件中，然后把文件名改为111.php%00.jpg

把burp开启，抓包，

把下半部分的filename的值，那个%00，解除url编码（%00是URL编码，本身是截断的意思，我们解码后，就相当于越过了浏览器，直接在应用层下截断了后面的.jpg），然后放包。

然后，

根据路径提示，到那个上传的php文件中。

http://192.168.135.128/dvwa/hackable/uploads/111.php

把这个复制到菜刀，进行php链接，密码caidao写进去

我们进入了服务器。

至此，笔者对dvwa的文件上传漏洞先写在这里。