2. 程式人生 > >Dvwa之檔案上傳漏洞

Dvwa之檔案上傳漏洞

阿新 發佈:2019-02-18

今天到了比較有意思的地方,一句話我們要傳木馬啦!這個就比較有意思了,畢竟我們查詢漏洞最想要的效果之一就是傳馬成功,獲得我們想要的許可權。
攻擊原理:
1.web容器的解析漏洞
2.配合解析漏洞進行waf繞過和上傳木馬。
因為我用的web容器是Apache,所以暫且只介紹Apache的檔案解析漏洞。
比如現在我們有一個1.php.rar.xx.kk的檔案,那麼伺服器會報錯嗎?答案是否定的,Apache有自己的一套檔案處理方式,
它會從後往前進行檔案解析,到遇見認識的字尾為止,最終會解析成1.php。那麼,它都認識什麼呢?這個在Apaceh的安裝目錄/conf/mime.types檔案中有詳細介紹。
檔案上傳漏洞的利用是有限制條件的,首先當然是要能夠成功上傳木馬檔案,其次上傳檔案必須能夠被執行,最後就是上傳檔案的路徑必須可知。不幸的是,這裡三個條件全都滿足。
測試:
Low級別
看原始碼

<?php 

if( isset( $_POST[ 'Upload' ] ) ) { 
    // Where are we going to be writing to? 
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 

    // Can we move the file to the upload folder? 
    if( !move_uploaded_file( $_FILES
 
[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { 
        // No 
        echo '<pre>Your image was not uploaded.</pre>'; 
    } 
    else { 
        // Yes! 
        echo "<pre>{$target_path} succesfully uploaded!</pre>"; 
    } 
} 

?>

經過分析原始碼,我們可以知道伺服器並未對上傳的檔案進行任何的過濾,並且對檔案路徑進行了回顯。問題來了,我們上傳什麼檔案。當然是我們鍾愛的木馬,接下來以最簡單的一句話木馬為例,進行我們的測試。
首先上傳木馬
這裡寫圖片描述


密碼123456,上傳以後我們發現檔案路徑是

然後用菜刀進行連線。

這樣菜刀就成功連線到了目標主機,並可以在進行下載,刪除檔案等操作,還可以獲取對方shell。
中級
看原始碼
<?php 

if( isset( $_POST[ 'Upload' ] ) ) { 
    // Where are we going to be writing to? 
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 

    // File information 
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; 
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ]; 
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; 

    // Is it an image? 
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) && 
        ( $uploaded_size < 100000 ) ) { 

        // Can we move the file to the upload folder? 
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { 
            // No 
            echo '<pre>Your image was not uploaded.</pre>'; 
        } 
        else { 
            // Yes! 
            echo "<pre>{$target_path} succesfully uploaded!</pre>"; 
        } 
    } 
    else { 
        // Invalid file 
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; 
    } 
} 

?>

分析中級程式碼可知,伺服器對上傳進行了限制,字尾必須是png和jpeg,並且大小必須小於10000b大約是97kb。那麼我們便不能這麼明目張膽的上傳木馬了。主要有以下三種姿勢:
1.配合檔案包含漏洞
把a.php改為a.png,配合檔案上傳進行繞過,當然別忘了繞過檔案包含的waf。由於環境問題,這個實驗就不做了,舉個梨子。
在位址列中輸入
http://192.168.0.104/dvwa/vulnerabilities/fi/?page=hthttp://tp://192.168.0.104/dvwa/hackable/uploads/a.png
2.抓包修改檔案型別
用bp抓包,修改檔案型別。


3.通過00截斷繞過
在php版本小於5.3.4的版本中,當Magic_quote_gpc選項為off時,可以在檔名中使用%00截斷,所以可以把上傳檔案命名a1.php%00.png進行繞過,我們用bp抓包檢測一下檔案型別。

可以發現檔案型別是png成功繞過前端,並且到伺服器檔案會被解析成php檔案,因為00後面的被截斷了,伺服器不解析。
高階程式碼
<?php 

if( isset( $_POST[ 'Upload' ] ) ) { 
    // Where are we going to be writing to? 
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 

    // File information 
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; 
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); 
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; 
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ]; 

    // Is it an image? 
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) && 
        ( $uploaded_size < 100000 ) && 
        getimagesize( $uploaded_tmp ) ) { 

        // Can we move the file to the upload folder? 
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) { 
            // No 
            echo '<pre>Your image was not uploaded.</pre>'; 
        } 
        else { 
            // Yes! 
            echo "<pre>{$target_path} succesfully uploaded!</pre>"; 
        } 
    } 
    else { 
        // Invalid file 
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; 
    } 
} 

?>

高階程式碼主要應用了getimagesize(string filename)函式對圖片進行辨別,該函式會通過讀取檔案頭,返回圖片的長、寬等資訊,如果沒有相關的圖片檔案頭,函式會報錯。並且程式碼通過讀取檔案最後一個“.”希望來限制檔案型別必須是jpg,jpeg,png。高階程式碼看來已經非常嚴格了,但是我們還可以繞過,檔名的限制我們可以通過00截斷繞過而圖片限制,我們可以把木馬放進圖片裡。
在windows下我們可以通過copy命令合成圖片木馬。

copy a1.png/b+a.php/a hack.png


我們把合成的木馬圖片丟進16進位制編輯器看看。

我們可以發現木馬語句就在最後面。
接下來我們構造圖片名為hack.php%00.png即可,當然也可以採用檔案包含和改包的方式進行繞過檔案型別的waf,具體方法參照中級程式碼嘗試。
安全程式碼

<?php 

if( isset( $_POST[ 'Upload' ] ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 


    // File information 
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; 
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); 
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; 
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ]; 
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ]; 

    // Where are we going to be writing to? 
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/'; 
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-'; 
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext; 
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) ); 
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext; 

    // Is it an image? 
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) && 
        ( $uploaded_size < 100000 ) && 
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) && 
        getimagesize( $uploaded_tmp ) ) { 

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD) 
        if( $uploaded_type == 'image/jpeg' ) { 
            $img = imagecreatefromjpeg( $uploaded_tmp ); 
            imagejpeg( $img, $temp_file, 100); 
        } 
        else { 
            $img = imagecreatefrompng( $uploaded_tmp ); 
            imagepng( $img, $temp_file, 9); 
        } 
        imagedestroy( $img ); 

        // Can we move the file to the web root from the temp folder? 
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) { 
            // Yes! 
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>"; 
        } 
        else { 
            // No 
            echo '<pre>Your image was not uploaded.</pre>'; 
        } 

        // Delete any temp files 
        if( file_exists( $temp_file ) ) 
            unlink( $temp_file ); 
    } 
    else { 
        // Invalid file 
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; 
    } 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?>

“`

可以看到,Impossible級別的程式碼對上傳檔案進行了重新命名(為md5值,導致%00截斷無法繞過過濾規則),加入Anti-CSRF token防護CSRF攻擊,同時對檔案的內容作了嚴格的檢查,導致攻擊者無法上傳含有惡意指令碼的檔案。

相關推薦

Dvwa檔案漏洞

今天到了比較有意思的地方,一句話我們要傳木馬啦!這個就比較有意思了,畢竟我們查詢漏洞最想要的效果之一就是傳馬成功,獲得我們想要的許可權。 攻擊原理: 1.web容器的解析漏洞 2.配合解析漏洞進行waf繞過和上傳木馬。 因為我用的web容器是Apache

web安全檔案漏洞攻擊與防範方法

一、 檔案上傳漏洞與WebShell的關係 檔案上傳漏洞是指網路攻擊者上傳了一個可執行的檔案到伺服器並執行。這裡上傳的檔案可以是木馬,病毒,惡意指令碼或者WebShell等。這種攻擊方式是最為直接和有效的,部分檔案上傳漏洞的利用技術門檻非常的低,對於攻擊者來說很容易實施。 檔案上傳漏洞本身就是一

WEBSHELL姿勢檔案漏洞(滲透實驗)

實驗場景  某網際網路公司授權你對其網路安全進行模擬黑客攻擊滲透。在XX年XX月XX 日至XX年XX月XX日,對某核心伺服器進行入侵測試,據瞭解,該web伺服器(10.1.1.178)上 C:\consle儲存有銀行的關鍵敏感資料。 目標任務       請以下列任務為目標

DVWAFile Upload (檔案漏洞)

目錄 Low: High: Low: 原始碼: <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_

yii2框架開發安全xss、csrf、sql注入、檔案漏洞攻擊

常見的漏洞攻擊:1、xss:是跨站指令碼攻擊    分3類:1、儲存型2、反射型3、蠕蟲型2、csrf:是跨站請求偽造攻擊    分2類:1、get型2、post型3、sql注入4、檔案上傳xss攻擊:xss攻擊可以:盜取使用者賬號、也可以盜取後進行非法轉賬、還可以篡改系統資

DVWA檔案漏洞(medium)

DVWA檔案上傳漏洞2018/4/6        criedcat***本文需要知道%00截斷是怎麼個一回事。整體上的思路無非就是上傳一個隱藏的木馬,然後用菜刀連結*******網路有文章說,%00截斷出現在php5.3.4之前版本,但是我的測試環境是5.4.45,卻依然可

【滲透課程】第七篇-漏洞繞過漏洞

ng- 相關 都是 http itl 了解 利用 存在 上傳 前一篇我們已經講過了上傳漏洞的解析漏洞,在某些時候,知道網站存在哪個解析漏洞,那麽我們就可以更好的利用上傳漏洞 這個知識點在我們前面就有粗略說過了(http://www.yuntest.org/index.php

falsk檔案

  在使用flask定義路由完成檔案上傳時,定義upload檢視函式 from flask import Flask, render_template from werkzeug.utils import secure_filename import os app = Flask

17.[CVE-2017-12615]Tomcat任意檔案漏洞

【CVE-2017-12615】 Tomcat任意檔案上傳漏洞 首先先貼出wooyun上的一個案例:http://wooyun.jozxing.cc/static/bugs/wooyun-2015-0107097.html 看到這個漏洞讓我想到了IIS6.0任意檔案上傳的漏洞,不過現在大多都用工具,比如I

檔案漏洞繞過技巧

檔案上傳漏洞繞過技巧 一、檔案上傳漏洞介紹   通常web 站點會有使用者註冊功能,而當用戶登入之後大多數情況下都會存在類似頭像上傳、附件上傳一類的功能,這些功能點往往存在上傳驗證方式不嚴格的安全缺陷,是在web 滲透中非常關鍵的突破口,只要經過仔細測試分析來繞過上傳驗證機制,往往會造成被攻擊

laravel框架檔案

引用use檔案 控制器引用模型檔案方便呼叫 use App\Info\Info; 模型引用DB檔案 use Illuminate\Support\Facades\DB;   model模型中的程式碼 public function index(){ //

fckeditor 2 6 4 任意檔案漏洞

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Spring Boot 整合檔案與下載

1.匯入依賴 <dependency> <groupId>commons-io</groupId> <artifactId>commons-io</artifactId>

FCKeditor connector php任意檔案漏洞

分享一下我老師大神的人工智慧教程!零基礎,通俗易懂!http://blog.csdn.net/jiangjunshow 也歡迎大家轉載本篇文章。分享知識,造福人民,實現我們中華民族偉大復興!        

Struts2檔案與下載

1、檔案上傳三種方式: 將檔案以二進位制的形式儲存到資料庫中 activiti工作流框架  將檔案儲存到專門檔案伺服器(存放檔案用的Linux系統)中  直接將檔案儲存到伺服器(tomcat所在伺服器)中 2、檔案上傳的一個例項: action裡

【Android架構】基於MVP模式的Retrofit2+RXjava封裝檔案(三)

最近手頭事比較多,抽個空把之前系列也補充一下。 先回顧下之前的 【Android架構】基於MVP模式的Retrofit2+RXjava封裝(一) 【Android架構】基於MVP模式的Retrofit2+RXjava封裝之檔案下載(二) 今天要說的是檔案上傳 1.單圖上

檔案漏洞例項

下面例項都是在墨者學院靶場做的,幾種常見的上傳姿勢 1.結合iis5.x/6.0解析漏洞上傳檔案 先上傳一個asp檔案,抓包看看返回結果是什麼   由上圖我們可以知道伺服器是iis6.0,接下來我們利用iis6.0解析漏洞來上傳我們的一句話,新增一個asp目錄  

Web安全_檔案漏洞_DVWAshell+中國菜刀管理檔案

遠端登陸靶機: 開啟kali命令列 ssh 賬號@地址 輸入密碼 成功連線 這時就可以輸入命令對靶機進行操作,如檢視、刪除檔案、進入目錄等等 如這裡進入靶機裡DVWA上傳檔案目錄處檢視所上傳的檔案: 可以檢視到有四個檔案,可以進行刪除(這裡刪除php字尾的檔

web安全(6)-- 檔案漏洞

1.1 漏洞描述     上傳漏洞這個顧名思義,就是攻擊者通過上傳木馬檔案,直接得到WEBSHELL,危害等級超級高,現在的入侵中上傳漏洞也是常見的漏洞。     導致該漏洞的原因在於程式碼作者沒有對訪客提交的資

web服務端安全---檔案漏洞

1、簡述   檔案上傳漏洞是指使用者上傳了一個可執行的指令碼檔案,並通過此指令碼檔案獲得了執行服務端命令的能力。這種攻擊方式是最直接和有效的,而且網際網路中我們經常會用到檔案上傳功能,它本身是沒有問題的,正常的業務需求,可是檔案上傳後伺服器如果不能安全有效的處理或解釋檔案,往往會造成嚴重的後果。 常見的安