DVWA-File Upload(文件上传)

File Upload(文件上传)

介绍

文件上传漏洞可以说是危害很大了，因为可以直接通过此漏洞getshell。漏洞原因简单点说就是由于开发人员或者网站运维人员的一些失误导致用户上传的文件可以被服务器当作脚本（可执行文件）解析执行。但是想要成功利用这个漏洞至少需要满足三个条件：

A.有效上传点

B.上传文件能够被解析执行

C.上传的文件能够被访问到

low

由于我是搭建在phpstudy环境下的，所以我试着上传一个php一句话木马。

可以看到我们的一句话成功上传，我们尝试用菜刀连接一下

成功连接，看来后台没有做任何过滤。我们来看下源码：

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '
Your image was not uploaded.
';
    }
    else {
        // Yes!
        echo "
{$target_path} succesfully uploaded!
";
    }
}

?> 

看了一下也确实没做什么过滤，文件路径就是
DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"

再加上文件名。

Medium

还是先试试直接上传脚本：

根据提示，可以看到只允许上传jpeg或者png的图片。意思就是要我们来绕过这个限制，我们先来想一想开发人员到底是从哪儿限制了我们上传php文件。

看一下源代码：

if( isset( $_POST[ 'Upload' ] ) ) {
   // Where are we going to be writing to?
   $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
   $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

   // File information
   $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
   $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
   $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

   // Is it an image?
   if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
      ( $uploaded_size < 100000 ) ) {

       // Can we move the file to the upload folder?
       if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
           // No
           echo '
Your image was not uploaded.
';
      }
       else {
           // Yes!
           echo "
{$target_path} succesfully uploaded!
";
      }
  }
   else {
       // Invalid file
       echo '
Your image was not uploaded. We can only accept JPEG or PNG images.
';
  }
}

?>

可以看到，Medium级别的代码对上传文件的类型、大小做了限制，要求文件类型必须是jpeg或者png，大小不能超过100000B（约为97.6KB）。

中国菜刀的原理是向上传文件发送包含apple参数的post请求，通过控制apple参数来执行不同的命令，而这里服务器将木马文件解析成了图片文件，因此向其发送post请求时，服务器只会返回这个“图片”文件，并不会执行相应命令。

2.抓包修改文件类型

上传php.png文件，抓包。

可以看到文件类型为image/png，尝试修改filename为hack.php。
上传成功

上菜刀，获取webshell权限。

High

if( isset( $_POST[ 'Upload' ] ) ) {
   // Where are we going to be writing to?
   $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
   $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

   // File information
   $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
   $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
   $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
   $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

   // Is it an image?
   if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
      ( $uploaded_size < 100000 ) &&
       getimagesize( $uploaded_tmp ) ) {

       // Can we move the file to the upload folder?
       if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
           // No
           echo '
Your image was not uploaded.
';
      }
       else {
           // Yes!
           echo "
{$target_path} succesfully uploaded!
";
      }
  }
   else {
       // Invalid file
       echo '
Your image was not uploaded. We can only accept JPEG or PNG images.
';
  }
}

?>

可以看到，High级别的代码读取文件名中最后一个”.”后的字符串，期望通过文件名来限制文件类型，因此要求上传文件名形式必须是”.jpg”、”.jpeg” 、”*.png”之一。同时，getimagesize函数更是限制了上传文件的文件头必须为图像类型。
采用%00截断的方法可以轻松绕过文件名的检查，但是需要将上传文件的文件头伪装成图片，由于实验环境的php版本原因，这里只演示如何借助High级别的文件包含漏洞来完成攻击。
首先利用copy将一句话木马文件php.php与图片文件1.png合并

打开可以看到，一句话木马藏到了最后。

顺利通过文件头检查，可以成功上传。

上菜刀，右键添加shell

参数名填123，

脚本语言选择php,

成功拿到webshell.