找人網(wǎng)站 優(yōu)幫云,谷歌推廣優(yōu)化,建設電器網(wǎng)站目的及功能定位,網(wǎng)站開發(fā)三步實驗環(huán)境我們在上一篇文章已經(jīng)搭建好了#xff0c;參考【全面實戰(zhàn)】從搭建DVWA到全漏洞復現(xiàn)(1) 這里還需要用到一個集成bp和蟻劍或者中國菜刀 “中國菜刀/蟻劍”連接木馬#xff0c;拿到webshell#xff08;管理服務器文件、執(zhí)行命令#xff09;。 我之前發(fā)表過一篇文章參考【全面實戰(zhàn)】從搭建DVWA到全漏洞復現(xiàn)(1)這里還需要用到一個集成bp和蟻劍或者中國菜刀“中國菜刀/蟻劍”連接木馬拿到webshell管理服務器文件、執(zhí)行命令。我之前發(fā)表過一篇文章是使用One-fox集成工具安裝bp的文章one-fox集成工具Burpsuite配置這個工具中集成了我們需要使用的我也在那篇文章中說了bp的配置此處我們直接實戰(zhàn)有問題可在評論區(qū)我《法律與責任聲明》本內容僅用于網(wǎng)絡安全中文件上傳漏洞的技術研究、學習與交流。一、合法性要求嚴格遵守《中華人民共和國網(wǎng)絡安全法》及相關法律法規(guī)嚴禁將所學技術用于非法活動如未經(jīng)授權的攻擊、竊取信息等。例如不得對未授權的真實生產(chǎn)環(huán)境網(wǎng)站做漏洞測試。漏洞測試須在合法授權環(huán)境進行可使用自己搭建的DVWA靶場或獲書面授權的目標系統(tǒng)否則將擔法律責任。二、風險與責任參考本內容進行DVWA搭建和漏洞復現(xiàn)可能有系統(tǒng)崩潰、數(shù)據(jù)丟失等風險本人不承擔直接或間接責任請操作前備份數(shù)據(jù)、謹慎行事。若因參考本內容對第三方造成損失本人不承擔法律責任使用者自行擔責。三、傳播限制禁止將本內容用于惡意傳播如制作惡意教程、培訓非法黑客組織應維護良好網(wǎng)絡安全環(huán)境。發(fā)現(xiàn)有人利用本內容非法活動應及時舉報。四、版權聲明本文為本人獨立創(chuàng)作有完整知識產(chǎn)權。未經(jīng)書面許可任何單位或個人不得轉載、復制或以其他方式使用違者依法追責。注閱讀并使用本內容即表示同意聲明條款不同意請停止使用。一.引入1.文件上傳漏洞是什么文件上傳漏洞指的是 Web 應用程序在處理用戶上傳文件的過程中由于程序對上傳文件的類型、大小、內容等方面的驗證存在缺陷使得攻擊者能夠上傳惡意文件到服務器并可能導致服務器被攻擊、數(shù)據(jù)泄露等嚴重后果。簡單來說就是攻擊者可以借助這個漏洞把有害文件放到目標服務器上。2.一句話木馬一句話木馬本質上是一段簡短的代碼通常以腳本語言編寫像 PHP、ASP、JSP 等。它能夠被上傳至 Web 服務器一旦執(zhí)行攻擊者就能夠遠程操控服務器進而執(zhí)行任意命令。3.DVWA的文件上傳漏洞實戰(zhàn)分為四個等級LowMediumHighimpossible二. 客戶端驗證繞過漏洞(low)1.原理服務器既不檢查文件后綴也不驗證文件類型只要文件大小≤100K就能直接上傳。2.實例首先打開我們的網(wǎng)站我們登錄進來網(wǎng)站后先把等級設為low等級然后點擊submit我們需要創(chuàng)建一個php文件其中寫入一句話木馬創(chuàng)建簡單PHP后門webshell的步驟。具體是新建一個名為webshell.php的PHP文件并在其中寫入特定的PHP代碼該代碼是一種常見的一句話木馬形式。一句話木馬是用于獲取對目標服務器控制權限的惡意代碼通過將其上傳到Web服務器中攻擊者可以利用它來執(zhí)行任意PHP代碼進而可能進行諸如讀取、修改、刪除服務器文件執(zhí)行系統(tǒng)命令等惡意操作。代碼解釋:?php eval($_POST[123456]);?這段PHP代碼的含義如下?php和?這是PHP的開始和結束標記用于告訴服務器這段代碼是PHP代碼需要按照PHP的語法規(guī)則進行解析和執(zhí)行。錯誤抑制操作符。它的作用是抑制緊跟其后的表達式在執(zhí)行過程中可能產(chǎn)生的任何錯誤信息使其不會在頁面上顯示出來。這樣做可以避免因代碼執(zhí)行出錯而向外界暴露一些可能敏感的錯誤提示信息增加隱蔽性。eval()這是PHP的一個危險函數(shù)它可以將字符串形式的PHP代碼作為PHP語句來執(zhí)行。也就是說傳遞給eval()函數(shù)的參數(shù)如果是一段有效的PHP代碼那么PHP解釋器會把它當作正常的代碼去運行。$_POST[123456]$_POST是PHP中的一個超全局變量用于獲取通過HTTP POST方法提交的數(shù)據(jù)。這里[123456]表示從$_POST數(shù)組中獲取鍵名為123456的值。也就是說當攻擊者通過POST方式向該PHP文件提交數(shù)據(jù)并且數(shù)據(jù)中包含名為123456的鍵時其對應的值就會被eval()函數(shù)執(zhí)行。此處我們直接上傳創(chuàng)建的php文件上傳成功后會返回其上傳路徑我們在服務器后臺也可以看到上傳成功然后在one-fox集成工具打開蟻劍或者是自己下載的蟻劍第一次使用蟻劍需要梯子下載所需資源我演示有疑問歡迎來問我此處可能會出現(xiàn)這種錯誤如果你安裝的是one-fox那其目錄下應該就包含了需要的文件了從新打開蟻劍選擇到one-fox目錄中的蟻劍目錄即可不需要自己下載打開蟻劍后在左面空白處右鍵添加數(shù)據(jù)輸入目標服務器的ip地址注意如果是某個端口上需要寫那個端口然后再把剛剛上傳后的返回的那個地址放上去密碼輸入自己剛剛設置的可以先測試連接性然后點擊左上角添加右鍵可以對其進行虛擬終端文件管理等然后我們分析一下它的源碼可以看到四個等級的php代碼此處我們對這段php進行解析了解其原理并對代碼邏輯或者代碼使用進行認識源碼分析單純漏洞復現(xiàn)無需了解其源碼者可跳過1. 檢查表單提交if(isset($_POST[Upload])){這行代碼使用isset()函數(shù)檢查$_POST數(shù)組中是否存在名為Upload的鍵。$_POST是一個超全局變量用于接收通過 POST 方法提交的表單數(shù)據(jù)。如果存在Upload鍵說明用戶點擊了上傳按鈕代碼將繼續(xù)執(zhí)行后續(xù)邏輯。2. 確定上傳目標路徑// Where are we going to be writing to?$target_pathDVWA_WEB_PAGE_TO_ROOT.hackable/uploads/;$target_path.basename($_FILES[uploaded][name]);DVWA_WEB_PAGE_TO_ROOT是一個預定義的常量代表 DVWA 網(wǎng)站根目錄的路徑。代碼將其與hackable/uploads/拼接得到上傳目錄的基礎路徑。$_FILES是另一個超全局變量用于處理文件上傳。$_FILES[uploaded][name]表示用戶上傳文件的原始文件名。basename()函數(shù)用于提取文件名的基本部分將其追加到$target_path后面最終得到文件要上傳到的完整路徑。3. 移動上傳文件// Can we move the file to the upload folder?if(!move_uploaded_file($uploaded_tmp,$target_path)){// No$html.preYour image was not uploaded./pre;}else{// Yes!$html.pre{$target_path}succesfully uploaded!/pre;}move_uploaded_file()函數(shù)用于將上傳到臨時目錄的文件移動到指定的目標路徑。如果移動失敗會向$html變量追加一條錯誤信息如果移動成功會追加一條成功信息。總之因為Low級別完全沒做安全檢查服務器把上傳的PHP文件當成普通文件接收而PHP文件在服務器上能直接執(zhí)行所以木馬生效。目前我們只需要到這里后續(xù)我們可以通過這些知識對其進行一些其他的深入測試。三. 服務器端 MIME 類型驗證繞過漏洞(Medium)服務器通過MIME類型判斷文件是否為圖片只允許image/jpeg、image/png文件大小≤100K。1.原理服務器端通過檢查文件的 MIME 類型如 image/jpeg、text/plain 等來判斷文件的類型。然而MIME 類型可以在 HTTP 請求頭中被偽造攻擊者可以將惡意文件的 MIME 類型偽裝成服務器允許的類型從而繞過服務器的驗證。2.實例將模式改為medium這個時候再直接上傳一句話木馬php文件會提示上傳失敗。然后我們還是選擇上傳那個php文件bp開啟抓包攔截bp使用方法見[[one-fox集成工具Burpsuite配置]]抓到數(shù)據(jù)后我們修改content-type(內容類型)為image/jpg或image/png文件名改不改都無所謂文件名為webshell2.jpg或者是webshell2.png(2是因為方便與之前上傳的區(qū)分)然后點擊“Forward”放行請求這邊顯示上傳成功然后再蟻劍連接服務器只看了這個MIME類型判斷文件類型不檢查文件內容。我們把PHP文件的MIME類型改成圖片的服務器就誤以為是圖片允許上傳而文件本質還是PHP腳本能正常執(zhí)行。找其源碼源碼分析單純漏洞復現(xiàn)無需了解其源碼者可跳過基于上一個等級的條件下添加了一些判斷1. 獲取文件信息// File information$uploaded_name$_FILES[uploaded][name];$uploaded_type$_FILES[uploaded][type];$uploaded_size$_FILES[uploaded][size];$uploaded_name存儲用戶上傳文件的原始文件名。$uploaded_type存儲用戶上傳文件的文件類型。$uploaded_size存儲用戶上傳文件的大小單位為字節(jié)。2. 檢查文件類型、大小// Is it an image?if(($uploaded_typeimage/jpeg||$uploaded_typeimage/png)($uploaded_size100000))3. 處理無效文件else{// Invalid file$html.preYour image was not uploaded. We can only accept JPEG or PNG images./pre;}如果文件的類型、大小或合法性不符合要求會向$html變量追加一條提示信息告知用戶文件未上傳成功且只能接受 JPEG 或 PNG 格式的圖像文件。四. 文件名解析漏洞(High)原理雙重檢查后綴檢查只允許jpg、jpeg、png后綴截取文件名最后一個“.”后的字符判斷文件頭檢查用getimagesize()函數(shù)讀取文件頭必須是合法圖片否則拒絕上傳。這就是我們所講最好不要把一句話放到圖片開頭位置此處直接上傳PHP或改MIME都會報錯就算你把mime改了后又把文件名也改了但識別到文件頭信息并不符合也無法上傳實例我們真正上傳一張圖片而我們在這個圖片中植入一句話我們可以直接在圖片源碼中編輯注意我們在編輯時不要把代碼放在文件開頭最好放到文件末尾成功或者可以使用進制編輯器工具或者說使用命令生成。但要注意順序一定要先寫圖片后寫txt不然系統(tǒng)就會把txt文件的內容放在開頭copy 1.png/a2.txt/b 3.jpg這是一條copy命令用于將圖片文件1.png的內容與文本文件2.txt進行合并生成新的圖片文件3.jpg。其中2.txt是包含要植入信息的文本文件。/b參數(shù)表示以二進制模式處理2.txt文件。.png是作為載體的原始圖片文件。/a參數(shù)表示以ASCII模式處理1.png文件在這種合并操作的特定情境下使用。3.jpg是最終生成的包含植入信息的圖片文件。上傳成功但文件后綴是jpg服務器不會執(zhí)行PHP代碼需要把它改成php后綴。我們這里為實現(xiàn)目的就需要利用命令注入/文件包含漏洞重命名文件幫助我們使其變成php文件或者讓其執(zhí)行文件中的php代碼。命令注入漏洞和文件包含漏洞并不是同一種漏洞命令注入漏洞是指攻擊者通過提交惡意構造的參數(shù)利用應用程序對用戶輸入過濾不嚴格的漏洞將惡意系統(tǒng)命令注入到應用程序中并執(zhí)行。例如在一個基于Web的文件上傳管理系統(tǒng)中有一個功能是允許用戶輸入文件名來查看文件的詳細信息系統(tǒng)會執(zhí)行類似ls -l [用戶輸入的文件名]的命令。如果攻擊者輸入; rm -rf /由于系統(tǒng)沒有對輸入進行嚴格過濾這個惡意命令就可能被執(zhí)行。再比如在一個表單中有一個輸入框用于輸入用戶名系統(tǒng)會執(zhí)行grep [用戶名] userlist.txt命令來查找用戶信息。攻擊者可以在輸入框中輸入; rm -rf /當系統(tǒng)執(zhí)行該命令時就會先執(zhí)行grep [用戶名] userlist.txt然后執(zhí)行rm -rf /導致系統(tǒng)文件被刪除。文件包含漏洞是指當應用程序在處理包含文件時沒有對用戶輸入的文件路徑進行嚴格的驗證和過濾導致攻擊者可以通過構造特殊的文件路徑包含惡意文件或敏感文件。比如一個網(wǎng)站的新聞頁面通過include($_GET[file])來動態(tài)包含不同的新聞文件攻擊者可以構造一個特殊的URL如http://example.com/news.php?file../../etc/passwd在Unix/Linux系統(tǒng)中/etc/passwd包含了系統(tǒng)用戶的信息從而獲取系統(tǒng)的敏感信息。再比如使用../來向上級目錄跳轉從而包含系統(tǒng)的敏感文件或惡意文件。在Windows系統(tǒng)中還可能會利用UNC路徑如\192.168.1.1sharemalicious.php來包含遠程服務器上的惡意文件。此處我們先利用命令注入漏洞這里因為返回結果為亂碼使用改了一下文件里的編碼參數(shù)就不亂碼了為實現(xiàn)目的此處我們先把等級改為low等級然后進行命令執(zhí)行漏洞中執(zhí)行127.0.0.1 |rename C:2.3DVWA-2.3hackableuploads3.jpg 4.php這個命令執(zhí)行漏洞后期會詳細做連接成功或者還有一種方式是文件包含漏洞在high模式下打開文件包含漏洞處file inclusion)輸入后下方有這些亂碼的東西就是執(zhí)行成功了然后連接此時我們再拿蟻劍連接蟻劍不行就菜刀反正就這兩個來回使用哪個能成用哪個找其源碼在這個目錄下對其進行解析源碼分析1. 獲取文件信息// File information$uploaded_name$_FILES[uploaded][name];$uploaded_extsubstr($uploaded_name,strrpos($uploaded_name,.)1);$uploaded_size$_FILES[uploaded][size];$uploaded_tmp$_FILES[uploaded][tmp_name];$uploaded_name存儲用戶上傳文件的原始文件名。$uploaded_ext使用strrpos()函數(shù)找到文件名中最后一個點號.的位置再使用substr()函數(shù)截取點號后面的部分得到文件的擴展名。$uploaded_size存儲用戶上傳文件的大小單位為字節(jié)。$uploaded_tmp存儲用戶上傳文件在服務器臨時目錄中的路徑。2. 檢查文件類型、大小和合法性// Is it an image?if((strtolower($uploaded_ext)jpg||strtolower($uploaded_ext)jpeg||strtolower($uploaded_ext)png)($uploaded_size100000)getimagesize($uploaded_tmp)){strtolower( $uploaded_ext )將文件擴展名轉換為小寫避免因大小寫問題導致判斷失誤。代碼會檢查擴展名是否為jpg、jpeg或png。$uploaded_size 100000檢查文件大小是否小于 100000 字節(jié)約 97.7KB。getimagesize( $uploaded_tmp )嘗試獲取圖像的尺寸信息。如果文件是有效的圖像文件該函數(shù)會返回一個包含圖像尺寸等信息的數(shù)組如果不是有效的圖像文件函數(shù)返回false。只有當這三個條件都滿足時才會繼續(xù)執(zhí)行后續(xù)的文件移動操作。五. 競爭條件漏洞(impossible)對于impossible來說安全做的非常嚴格正在為impossible滲透學習中…如有需要可參考大佬文章DVWA靶場通關筆記-文件上傳(Impossible級別)_dvwa文件上傳impossible源代碼分析-CSDN博客