二十一、手动漏洞挖掘(5)文件上传
文章目录
1.上传正常图片
2.上传webshell
3.突破文件大小限制
4.medium中安全级别upload测试
5.high高安全级别upload测试
6.文件头绕过过滤上传webshell
7.防范文件上传方法
1、上传正常图片
首先,按照正常的上传流程,上传图片,并通过burpsuite观察上传过程
通过burpsuite,看到上传过程中,由于有多个表单mulitpart/form-data即多个变量,因此使用boundary作为边界分隔:
burpsuite查看上传过程
通过在访问后面加上
../../hackable/uploads/1.jpg
路径 ,查看上传的图片访问
2、上传webshell
由于在low级别没有对文件进行任何限制,因此可以尝试上传一段webshell代码,看能否执行成功:
将下面代码命名为1.php并上传
<?php echo shell_exec($_GET['cmd']);?> //读取cmd变量值,并交由shell_exec函数执行,并将执行的结果通过echo显示在页面中
上传1.php文件
上传1.php成功将../../hackable/uploads/1.php
放在访问路径后面,然后在使用连接符?加上cmd要使用的执行命令
3、突破文件大小限制
通过上面的burpsuite,可以看到对于文件的大小是有限制的,限定在100k
文件大小限制在默认情况下,上传2.php不能成功,原因是2.php的大小为176k大于默认的100k
上传2.php
下面,如果将其进行修改,并且上传一个比较大的文件(超过100k),是否能够成功:
开始截断功能,并将100000修改为1000000,然后在forward
通过上述描述,可以看到基于客户端的大小限制是能够被绕过的,应用程序不仅要在客户端进行校验限制,而且也要在服务端进行校验限制。
4、medium中安全级别upload测试
文件mime-type类型查看:文件头和扩展名
mime类型将安全级别设置为“medium”,然后查看源代码,发现服务端对文件的mimetype类型(须为image/jpeg)、文件大小(100k)进行了限制。
view source下面将1.php在重新上传(将此前的上传先删除/var/www/dvwa/hackable/uploads/
),并通过代理截断将mimetype类型修改为image/jpeg,并forward:
5、high高安全级别upload测试
将安全级别设置为“high”,查看源代码,发现对文件的扩展名进行了校验,只允许jpg/JPG、jpeg/JPEG
view source使用代理截断,对扩展名进行修改,看能否绕过
修改扩展名 上传成功6、文件头绕过过滤上传webshell
对于除了判断扩展名,应用程序可以还可以通过文件中的文件头进行判断,文件头用于定义文件的类型,比如下面的原始图片,body中的png定义的是图片:
原始图片文件头
但却可以将下面的图片(乱码部分)使用php代码进行替换,这样就达到了即使对文件头进行校验,仍然是png,但是执行代码却在body中可以执行。
由于图片是静态文件,因此将filename改为1.php.jpg
将php代码写入body文件头部分
查看上传结果
成功上传
验证结果:
命令执行结果1 命令执行结果27、防范文件上传方法
安全配置、安全编码、上传目录权限设置