DVWA 之File Upload

[图片上传中...(图像 9.png-cb097c-1516798625097-0)]

-----File Upload-----

File Upload，即文件上传漏洞，通常是由于对上传文件的类型、内容没有进行严格的过滤、检查，使得攻击者可以通过上传木马获取服务器的webshell权限，因此文件上传漏洞带来的危害常常是毁灭性的，Apache、Tomcat、Nginx等都曝出过文件上传漏洞。

DVWA-1.9系列一共分为10个功能模块：

Brute Force（暴力破解）

Command Injection（命令行注入）

CSRF（跨站请求伪造）

File Inclusion（文件包含）

File Upload（文件上传）

Insecure CAPTCHA（不安全的验证码）

SQL Injection（SQL注入）

SQL Injection（Blind）（SQL盲注）

XSS（Reflected）（反射型跨站脚本）

XSS（Stored）（存储型跨站脚本）

下面对四种级别的代码进行分析。

Low

服务器端核心代码

Your image was not uploaded.

'; } else { // Yes! echo "

{$target_path} succesfully uploaded!

"; } } ?>

basename(path,suffix)

函数返回路径中的文件名部分，如果可选参数suffix为空，则返回的文件名包含后缀名，反之不包含后缀名。

可以看到，服务器对上传文件的类型、内容没有做任何的检查、过滤，存在明显的文件上传漏洞，生成上传路径后，服务器会检查是否上传成功并返回相应提示信息。

漏洞利用

文件上传漏洞的利用是有限制条件的，首先当然是要能够成功上传木马文件，其次上传文件必须能够被执行，最后就是上传文件的路径必须可知。不幸的是，这里三个条件全都满足。

上传文件hack.php（一句话木马）

图像 1.png

上传成功，并且返回了上传路径

图像 2.png

然后可以通过hakebar或者菜刀连接并执行命令，这里用hakebar演示执行命令如下：

图像 3.png

Medium

服务器端核心代码

Your image was not uploaded.

'; } else { // Yes! echo "

{$target_path} succesfully uploaded!

"; } } else { // Invalid file echo '

Your image was not uploaded. We can only accept JPEG or PNG images.

'; } } ?>

可以看到，Medium级别的代码对上传文件的类型、大小做了限制，要求文件类型必须是jpeg或者png，大小不能超过100000B（约为97.6KB）。

漏洞利用

1.组合拳（文件包含+文件上传）

因为采用的是一句话木马，所以文件大小不会有问题，至于文件类型的检查，尝试修改文件名为hack.png。

图像 6.png

上传成功。

图像 8.png

但如果直接连接中国菜刀，是无法解析png图片的，这里就只能配合文件包含漏洞将png文件解析成php文件

payload:127.0.0.1/dvwa2/vulnerabilities/fi/?page=hthttp://tp://127.0.0.1/dvwa2/hackable/uploads/xiaoma.png

2.抓包修改文件类型

上传xiaoma.png文件，抓包

图像 9.png

可以看到文件类型为image/png，尝试修改filename为xiaoma.php

图像 10.png

上传成功。

上菜刀，获取webshell权限或者直接用hakebar执行命令。

3.截断绕过规则

在php版本小于5.3.4的服务器中，当Magic_quote_gpc选项为off时，可以在文件名中使用%00截断，所以可以把上传文件命名为xiaoma.php%00.png。

可以看到，包中的文件类型为image/png，可以通过文件类型检查。

图像 12.png

mages/20161108/14785918184375.png)

图像 11.png

而服务器会认为其文件名为xiaoma.php，顺势解析为php文件。遗憾的是，由于本次实验环境的php版本为5.4.31，所以无法进行验证。

High

服务器端核心代码

Your image was not uploaded.

'; } else { // Yes! echo "

{$target_path} succesfully uploaded!

"; } } else { // Invalid file echo '

Your image was not uploaded. We can only accept JPEG or PNG images.

'; } } ?>

strrpos(string,find,start)

函数返回字符串find在另一字符串string中最后一次出现的位置，如果没有找到字符串则返回false，可选参数start规定在何处开始搜索。

getimagesize(string filename)

函数会通过读取文件头，返回图片的长、宽等信息，如果没有相关的图片文件头，函数会报错。

可以看到，High级别的代码读取文件名中最后一个”.”后的字符串，期望通过文件名来限制文件类型，因此要求上传文件名形式必须是”.jpg”、”.jpeg” 、”*.png”之一。同时，getimagesize函数更是限制了上传文件的文件头必须为图像类型。

漏洞利用

采用%00截断的方法可以轻松绕过文件名的检查，但是需要将上传文件的文件头伪装成图片，由于实验环境的php版本原因，这里只演示如何借助High级别的文件包含漏洞来完成攻击。

首先利用copy将一句话木马文件php.php与图片文件1.jpg合并

1.png

1.png

生成的文件hack.jpg

1.png

打开可以看到，一句话木马藏到了最后。

1.png

顺利通过文件头检查，可以成功上传。

1.png

上菜刀，右键添加shell，地址栏填入http://192.168.153.130/dvwa/vulnerabilities/fi/?page=file:///C:/xampp/htdocs/dvwa/hackable/uploads/hack.jpg

参数名填apple，

脚本语言选择php。

1.png

成功拿到webshell。

1.png

** Impossible**

服务器端核心代码

${target_file} succesfully uploaded!

"; } else { // No echo '

Your image was not uploaded.

'; } // Delete any temp files if( file_exists( $temp_file ) ) unlink( $temp_file ); } else { // Invalid file echo '

Your image was not uploaded. We can only accept JPEG or PNG images.

'; } } // Generate Anti-CSRF token generateSessionToken(); ?>

in_get(varname)

函数返回相应选项的值

imagecreatefromjpeg ( filename )

函数返回图片文件的图像标识，失败返回false

imagejpeg ( image , filename , quality)

从image图像以filename为文件名创建一个JPEG图像，可选参数quality，范围从 0（最差质量，文件更小）到 100（最佳质量，文件最大）。

• imagedestroy( img )*

函数销毁图像资源

可以看到，Impossible级别的代码对上传文件进行了重命名（为md5值，导致%00截断无法绕过过滤规则），加入Anti-CSRF token防护CSRF攻击，同时对文件的内容作了严格的检查，导致攻击者无法上传含有恶意脚本的文件
借鉴帖子地址