Dvwa之文件上传漏洞

最新推荐文章于 2025-02-13 12:27:07 发布
最新推荐文章于 2025-02-13 12:27:07 发布
阅读量4.2k 收藏 4
点赞数 2
分类专栏: Dvwa漏洞测试 漏洞 漏洞挖掘 Web 安全 文章标签: 漏洞 apache 服务器 木马 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/JBlock/article/details/78556434
版权

今天到了比较有意思的地方,一句话我们要传木马啦!这个就比较有意思了,毕竟我们查找漏洞最想要的效果之一就是传马成功,获得我们想要的权限。
攻击原理:
1.web容器的解析漏洞
2.配合解析漏洞进行waf绕过和上传木马。
因为我用的web容器是Apache,所以暂且只介绍Apache的文件解析漏洞。
比如现在我们有一个1.php.rar.xx.kk的文件,那么服务器会报错吗?答案是否定的,Apache有自己的一套文件处理方式,
它会从后往前进行文件解析,到遇见认识的后缀为止,最终会解析成1.php。那么,它都认识什么呢?这个在Apaceh的安装目录/conf/mime.types文件中有详细介绍。
文件上传漏洞的利用是有限制条件的,首先当然是要能够成功上传木马文件,其次上传文件必须能够被执行,最后就是上传文件的路径必须可知。不幸的是,这里三个条件全都满足。
测试:
Low级别
看源码

<?php 

if( isset( $_POST[ 'Upload' ] ) ) { 
    // Where are we going to be writing to? 
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 

    // Can we move the file to the upload folder? 
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { 
        // No 
        echo '<pre>Your image was not uploaded.</pre>'; 
    } 
    else { 
        // Yes! 
        echo "<pre>{$target_path} succesfully uploaded!</pre>"; 
    } 
} 

?>

经过分析源代码,我们可以知道服务器并未对上传的文件进行任何的过滤,并且对文件路径进行了回显。问题来了,我们上传什么文件。当然是我们钟爱的木马,接下来以最简单的一句话木马为例,进行我们的测试。
首先上传木马
这里写图片描述
密码123456,上传以后我们发现文件路径是

这里写图片描述“`
http://192.168.0.104/DVWA-master/hackable/uploads/a.php.

然后用菜刀进行连接。

这样菜刀就成功连接到了目标主机,并可以在进行下载,删除文件等操作,还可以获取对方shell。
中级
看源码
<?php 

if( isset( $_POST[ 'Upload' ] ) ) { 
    // Where are we going to be writing to? 
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 

    // File information 
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; 
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ]; 
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; 

    // Is it an image? 
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) && 
        ( $uploaded_size < 100000 ) ) { 

        // Can we move the file to the upload folder? 
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { 
            // No 
            echo '<pre>Your image was not uploaded.</pre>'; 
        } 
        else { 
            // Yes! 
            echo "<pre>{$target_path} succesfully uploaded!</pre>"; 
        } 
    } 
    else { 
        // Invalid file 
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; 
    } 
} 

?>

分析中级代码可知,服务器对上传进行了限制,后缀必须是png和jpeg,并且大小必须小于10000b大约是97kb。那么我们便不能这么明目张胆的上传木马了。主要有以下三种姿势:
1.配合文件包含漏洞
把a.php改为a.png,配合文件上传进行绕过,当然别忘了绕过文件包含的waf。由于环境问题,这个实验就不做了,举个梨子。
在地址栏中输入
http://192.168.0.104/dvwa/vulnerabilities/fi/?page=hthttp://tp://192.168.0.104/dvwa/hackable/uploads/a.png
2.抓包修改文件类型
用bp抓包,修改文件类型。


3.通过00截断绕过
在php版本小于5.3.4的版本中,当Magic_quote_gpc选项为off时,可以在文件名中使用%00截断,所以可以把上传文件命名a1.php%00.png进行绕过,我们用bp抓包检测一下文件类型。

可以发现文件类型是png成功绕过前端,并且到服务器文件会被解析成php文件,因为00后面的被截断了,服务器不解析。
高级代码
<?php 

if( isset( $_POST[ 'Upload' ] ) ) { 
    // Where are we going to be writing to? 
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 

    // File information 
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; 
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); 
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; 
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ]; 

    // Is it an image? 
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) && 
        ( $uploaded_size < 100000 ) && 
        getimagesize( $uploaded_tmp ) ) { 

        // Can we move the file to the upload folder? 
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) { 
            // No 
            echo '<pre>Your image was not uploaded.</pre>'; 
        } 
        else { 
            // Yes! 
            echo "<pre>{$target_path} succesfully uploaded!</pre>"; 
        } 
    } 
    else { 
        // Invalid file 
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; 
    } 
} 

?>

高级代码主要应用了getimagesize(string filename)函数对图片进行辨别,该函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头,函数会报错。并且代码通过读取文件最后一个“.”希望来限制文件类型必须是jpg,jpeg,png。高级代码看来已经非常严格了,但是我们还可以绕过,文件名的限制我们可以通过00截断绕过而图片限制,我们可以把木马放进图片里。
在windows下我们可以通过copy命令合成图片木马。

copy a1.png/b+a.php/a hack.png


我们把合成的木马图片丢进16进制编辑器看看。

我们可以发现木马语句就在最后面。
接下来我们构造图片名为hack.php%00.png即可,当然也可以采用文件包含和改包的方式进行绕过文件类型的waf,具体方法参照中级代码尝试。
安全代码

<?php 

if( isset( $_POST[ 'Upload' ] ) ) { 
    // Check Anti-CSRF token 
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); 


    // File information 
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; 
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); 
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; 
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ]; 
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ]; 

    // Where are we going to be writing to? 
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/'; 
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-'; 
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext; 
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) ); 
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext; 

    // Is it an image? 
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) && 
        ( $uploaded_size < 100000 ) && 
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) && 
        getimagesize( $uploaded_tmp ) ) { 

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD) 
        if( $uploaded_type == 'image/jpeg' ) { 
            $img = imagecreatefromjpeg( $uploaded_tmp ); 
            imagejpeg( $img, $temp_file, 100); 
        } 
        else { 
            $img = imagecreatefrompng( $uploaded_tmp ); 
            imagepng( $img, $temp_file, 9); 
        } 
        imagedestroy( $img ); 

        // Can we move the file to the web root from the temp folder? 
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) { 
            // Yes! 
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>"; 
        } 
        else { 
            // No 
            echo '<pre>Your image was not uploaded.</pre>'; 
        } 

        // Delete any temp files 
        if( file_exists( $temp_file ) ) 
            unlink( $temp_file ); 
    } 
    else { 
        // Invalid file 
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; 
    } 
} 

// Generate Anti-CSRF token 
generateSessionToken(); 

?>

“`

可以看到,Impossible级别的代码对上传文件进行了重命名(为md5值,导致%00截断无法绕过过滤规则),加入Anti-CSRF token防护CSRF攻击,同时对文件的内容作了严格的检查,导致攻击者无法上传含有恶意脚本的文件。

DVWA文件上传漏洞
sunshine1_0的博客
01-20 1938
文件上传漏洞 低级别 中等级别 高级别
DVWA文件上传漏洞
HoYim
03-27 852
文件上传漏洞 文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马,病毒,恶意脚本或者WebShell等。 1 Webshell简介 WebShell就是以asp、php、jsp或者cgi等网页文件形式存在的一种命令执行环境,也可以将其称之为一种网页后门。攻击者在入侵了一个网站后,通常会将这些asp或php后门文件与网站服务器web目录下正常的网页文件混在一起,...
dvwa中的文件上传漏洞
无痕的博客
01-12 9176
dvwa漏洞环境演示文件上传漏洞
DVWA第五关:文件上传漏洞(File upload)
weixin_55270891的博客
02-13 964
File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞。这里三个条件全都满足。可以看到,服务器对上传文件的类型、内容没有做任何的检查、过滤,存在明显的文件上传漏洞,生成上传路径后,服务器会检查是否上传成功并返回相应提示信息。这里的代码没有对上传的文件做任何的检测和过滤,所以可以直接上传一句话木马
DVWA 文件上传漏洞
QYbkx974的博客
11-16 1296
本次将通过从低到高三个等级的漏洞讲解 DVWA 靶场的文件上传漏洞
DVWA~文件上传漏洞
里丘~班诺的小屋
05-09 1226
靶机介绍 实验原理 文件上传(File Upload)是大部分Web应用都具备的功能,例如用户上传附件、修改头像、分享图片/视频等 正常的文件一般是文档、图片、视频等,Web应用收集之后放入后台存储,需要的时候再调用出来返回 如果恶意文件如PHP、ASP等执行文件绕过Web应用,并顺利执行,则相当于黑客直接拿到了Webshell 一旦黑客拿到Webshell,则可以拿到Web应用的数据,删除Web文件,本地提权,进一步拿下整个服务器甚至内网 SQL注入攻击的对象是数据库服务,文件上传漏洞
DVWA文件上传漏洞之High渗透测试
Xlucas的博客
08-11 649
DVWA文件上传漏洞之High的渗透测试
DVWA文件上传漏洞
极光时流
03-31 694
Low 没有进行任何过滤 首相,上传一个phpinfo.php,其内代码如下: <?php phpinfo(); ?> 上传路径:http://127.0.0.1/DVWA-1.9/hackable/uploads/phpinfo.php 然后访问 首先,写好 说明存在上传和执行漏洞 上传一句话木马: <?php @eval($_POST[“hack”]); ?>...
DVWA文件上传漏洞
Feng_Blue_的博客
10-19 812
low等级 通过分析源代码,第一条只是分析上传是否为空,第二句则是文件的上传路径,第三条则是名字,可以看到,服务器对上传文件的类型、内容没有做任何的检查、过滤,存在明显的文件上传漏洞,生成上传路径后,服务器会检查是否上传成功并返回相应提示信息。 如果上传成功,则会提示 路径+succesfully uploaded! 如果上传失败,则会提示 Your image was not uploaded。 我们尝试上传一个一句话木马 使用菜刀链接 菜刀可以完全访问 Medi...
文件上传漏洞超详细解析(DVWA
于高山之巅,方见大河奔涌;于群峰之上,更觉长风浩荡。
01-09 2104
当然了,代码还有很多种写法,这只是比较简单的一种,一些特殊情况下还要使用别的写法。
DVWA--文件上传漏洞
xiaoxiao的博客
11-28 1568
文件上传漏洞定义 文件上传漏洞通常是由于上传文件的类型、内容没有进行严格的过滤检查,使得可以通过上传webshell获取服务器权限,因此文件上传漏洞带来的危害通常是毁灭性的。 文件上传漏洞的前提 能上传的木马 上传的木马可执行 还要清楚上传后的路径 实现过程 LOW级别 源码 basename(path,suffix):返回path中的文件名部分,如果可选参数suffix为空,则返回的文...
DVWA文件上传漏洞(upload)
kirito_pio的博客
06-04 1895
目录 1、low级别(直接上传) 1.1 上传文件 1.2验证 2、medium级别(使用Burp Suite进行代理) 2.1 进行代理配置 2.2 文件上传 2.3 验证 3、high级别(进行文件合并) 3.1 文件创建 3.2上传及验证 1、low级别(直接上传) <?php if (isset($_POST['Upload'])) { $target_path = DVWA_WEB_PAGE_TO_ROOT."hackable..
DVWA File Upload 文件上传漏洞
Lee_yc的博客
09-20 1172
1、查看源代码,发现对上传的文件类型做了严格的过滤,只能上传图片,正常上传php文件会报错。2、利用文件包含漏洞,用图片包含一句或木马,将图片拖入edjpgcom这个软件。6、使用antsword连接,连接成功,getshell。5、访问文件,没有反应,也没有报错,说明木马上传成功。1、查看源码,发现对文件上传的类型没有任何限制。3、上传成功,访问一下没有报错说明小马已成功。4、使用antSword连一下,连接成功。6、用antSword连接,成功。5、访问上传文件,出现乱码。4、放包,发现上传成功。
DVWA文件上传漏洞(File Upload)
qq_54537919的博客
06-27 662
DVWA文件上传漏洞(File Upload)
dvwa 文件上传漏洞
最新发布
04-03
<think>好的,我现在要处理用户关于DVWA文件上传漏洞的利用与防护的问题。首先,我需要回忆一下DVWA是什么,它是一个用于练习Web漏洞的测试环境,文件上传漏洞是其中常见的漏洞之一。用户可能想知道攻击者如何利用这个漏洞,以及如何防御。 接下来,我得确认用户的需求。他们提到了“exploitation and prevention”,所以需要分两部分回答:漏洞利用的方法和防范措施。同时,用户提供的引用内容提到了WebShell的危害,这可能与文件上传漏洞结合使用有关,需要强调这一点。 首先,关于利用部分,攻击者可能会上传恶意文件如PHP Webshell到服务器,通过上传功能绕过限制。需要详细说明常见的绕过方法,比如修改文件类型、使用双扩展名、图片马等。同时,DVWA的不同安全等级(如Low、Medium、High)可能有不同的防护措施,攻击手段也会不同,需要分等级描述。 然后是防护措施,这部分需要对应各个安全等级,说明如何加强验证。例如,Low级别没有过滤,所以需要增加文件类型检查、白名单扩展名、重命名文件等。Medium级别可能检查Content-Type,所以需要更严格的检查,比如MIME类型和文件头。High级别可能检查扩展名,但仍有绕过可能,所以需要结合多个层面的防护。 还要注意引用用户提供的资料,特别是关于WebShell的危害,在解释漏洞利用时引用[^1]。需要确保回答结构清晰,分步骤说明,并且语言用中文。 另外,用户要求生成相关问题,可能需要围绕文件上传漏洞的其他方面,比如其他漏洞类型、如何检测WebShell、DVWA其他漏洞的防护等。 需要检查是否符合系统级指令,比如数学公式是否正确使用$...$,但这个问题可能不涉及数学公式。确保LaTeX语法正确,但这里可能用不上。使用中文回答,结构清晰,分点说明。 总结回答结构:漏洞利用部分分安全等级说明,防护措施对应每个等级提出建议,最后生成相关问题。需要确保引用正确,并在适当位置添加引用标记。</think>### DVWA文件上传漏洞的利用与防护 #### 一、漏洞利用原理 DVWA(Damn Vulnerable Web Application)的文件上传漏洞允许攻击者上传恶意文件到服务器。攻击者通过构造特殊文件(如WebShell)可获取系统控制权[^1]。漏洞利用的关键在于绕过文件类型检测机制: 1. **Low安全级别** - 无任何过滤,直接上传PHP文件(如`shell.php`)即可 ```php <?php system($_GET["cmd"]); ?> ``` 2. **Medium安全级别** - 绕过方式:修改HTTP请求的`Content-Type`为`image/jpeg` - 使用双扩展名:`shell.php.jpg` 3. **High安全级别** - 通过图片马+文件包含漏洞执行代码 - 生成含恶意代码的图片: ```shell exiftool -Comment='<?php system($_GET["cmd"]); ?>' image.jpg ``` #### 二、防护措施 根据DVWA不同安全级别,可采取以下防护策略: 1. **基础防护(Low级别)** - 限制文件扩展名白名单(如`.jpg`, `.png`) - 验证文件类型:同时检查MIME类型和文件头 - 重命名上传文件:`$new_name = md5(uniqid()).$ext;` 2. **中级防护(Medium级别)** - 添加服务器端文件内容检测: ```php if(exif_imagetype($_FILES['file']['tmp_name']) === false){ die("Invalid file type"); } ``` - 禁止执行上传目录的脚本: ```apache <Directory "/uploads"> php_flag engine off </Directory> ``` 3. **高级防护(High级别)** - 使用隔离文件存储(如云存储服务) - 部署Web应用防火墙(WAF)规则: ```nginx location ~* \.(php|phtml)$ { deny all; } ``` - 定期扫描WebShell:使用工具如`ClamAV`或`RIPS` #### 三、漏洞危害案例 攻击者上传WebShell后,可通过`/uploads/shell.php?cmd=cat+/etc/passwd`读取系统敏感文件[^1]。更隐蔽的WebShell会伪装成正常文件,例如通过`<?php eval($_POST['ant']);?>`实现加密通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值