DVWA通关之File Upload

文件上传 File Upload,通常是由于对上传文件的类型,内容没有进行严格的过滤,检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传带来的危害常常是毁灭性的,Apache,Tomcat,Nginx等都爆出过文件上传漏洞。
利用文件上传,我们可以上传我们的一句话木马,很方便的会获得系统shell。

Low:

源码分析一下:



if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
//文件的目标路径hackable/uploads/,也就是文件上传的位置
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
// basename(path,suffix)

函数返回路径中的文件名部分,如果可选参数suffix为空,则返回的文件名包含后缀名,反之不包含后缀名。
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
    //$_FILES[ 'uploaded' ][ 'name' ]获取客户端文件的原名称;
    // Can we move the file to the upload folder?
//移动用户上传文件至目标路径
//$_FILES[ 'uploaded' ][ 'tmp_name' ]获取文件被上传后在服务器存储的临时文件名。
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) 
    //move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path )将上传过后的文件移动到变量$target_path指定的新位置
    {
        // No
        echo '
Your image was not uploaded.
'
; } else { // Yes! echo "
{$target_path} succesfully uploaded!
"
; } }

文件上传漏洞的利用是有限制条件的,首先必须是要能够成功上传木马文件,其次是上传文件必须能够被执行,最后就是上传文件的路径必须可知。这里三个条件全部满足。

可以看到,服务器对上传文件的类型、内容没有做任何的检查、过滤,存在明显的文件上传漏洞,生成上传路径后,服务器会检查是否上传成功并返回相应提示信息。

这里直接上传一句话上去。
在这里插入图片描述
上传成功,并且有返回路径:
DVWA通关之File Upload_第1张图片
拼接路径:
http://192.168.124.13/dvwa/hackable/uploads/qqq.php

然后用到蚁剑进行连接;
连接成功:
DVWA通关之File Upload_第2张图片

Medium:

源码分析一下:



if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
//文件类型必须是jpeg或者png,大小不能超过100000B(约为97.6KB)
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '
Your image was not uploaded.
'
; } else { // Yes! echo "
{$target_path} succesfully uploaded!
"
; } } else { // Invalid file echo '
Your image was not uploaded. We can only accept JPEG or PNG images.
'
; } } ?>

与low级别不同的是加入判断,获取文件的名字类型大小,然后验证。
$uploaded_type = $_FILES[ ‘uploaded’ ][ ‘type’ ];该语句是获取上传文件的MIME类型,MIME类型用来指定某种扩展名文件的打开方式,当具有该扩展名的文件被访问时,浏览器会自动使用指定的应用程序来打开。

We can only accept JPEG or PNG images. 既然这样,得通过Burp来动手脚了。

拓展
常见的MIME类型:
html网页.html : text/html
普通文本.txt : text/plain
GIF图像.gif : image/gif
JPEG图像.jpeg.jpg : image/jpeg

抓包:
DVWA通关之File Upload_第3张图片
上传成功:
DVWA通关之File Upload_第4张图片
DVWA通关之File Upload_第5张图片
另外一种方法:
截断绕过规则
在php版本小于5.3.4的服务器中,当Magic_quote_gpc选项为off时,可以在文件名中使用%00截断,所以可以把上传文件命名为qqq.php%00.png。
可以看到,包中的文件类型为image/png,可以通过文件类型检
服务器会认为其文件名为qqq.php,就会解析为php文件。
DVWA通关之File Upload_第6张图片

High:

源码分析一下:



if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
// strtoLower把所有字符转换为小写
getimagesize(string filename)
函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头,函数会报错。
可以看到,High级别的代码读取文件名中最后一个”.”后的字符串,期望通过文件名来限制文件类型,因此要求上传文件名形式必须是”*.jpg”、”*.jpeg” 、”*.png”之一。同时,getimagesize函数更是限制了上传文件的文件头必须为图像类型。
    if( ( strtoLower( $uploaded_ext ) == "jpg" || strtoLower( $uploaded_ext ) == "jpeg" || strtoLower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '
Your image was not uploaded.
'
; } else { // Yes! echo "
{$target_path} succesfully uploaded!
"
; } } else { // Invalid file echo '
Your image was not uploaded. We can only accept JPEG or PNG images.
'
; } } ?>

substr( $uploaded_name, strrpos( $uploaded_name, ‘.’ ) + 1);这条语句的作用就是从上传的文件名中截取扩展名部分,首先利用strrpos()函数查找在变量uploaded_name中出现的位置,然后将得到的数值加1,最后利用substr()函数从从变量uploaded_name的指定位置截取部分字符串。

构造一个GIF98绕过文件头检测;
DVWA通关之File Upload_第7张图片
然后成功上传:
DVWA通关之File Upload_第8张图片

你可能感兴趣的:(DVWA通关之File Upload)