美文网首页
二十一、手动漏洞挖掘(5)文件上传

二十一、手动漏洞挖掘(5)文件上传

作者: cybeyond | 来源:发表于2017-11-02 17:08 被阅读0次

    文章目录

    1.上传正常图片
    2.上传webshell
    3.突破文件大小限制
    4.medium中安全级别upload测试
    5.high高安全级别upload测试
    6.文件头绕过过滤上传webshell
    7.防范文件上传方法

    1、上传正常图片

    首先,按照正常的上传流程,上传图片,并通过burpsuite观察上传过程

    上传图片
    通过burpsuite,看到上传过程中,由于有多个表单mulitpart/form-data即多个变量,因此使用boundary作为边界分隔:
    burpsuite查看上传过程
    通过在访问后面加上../../hackable/uploads/1.jpg路径 ,查看上传的图片
    访问

    2、上传webshell

    由于在low级别没有对文件进行任何限制,因此可以尝试上传一段webshell代码,看能否执行成功:
    将下面代码命名为1.php并上传

    <?php echo shell_exec($_GET['cmd']);?>  //读取cmd变量值,并交由shell_exec函数执行,并将执行的结果通过echo显示在页面中
    

    上传1.php文件

    上传1.php成功

    ../../hackable/uploads/1.php放在访问路径后面,然后在使用连接符?加上cmd要使用的执行命令

    执行命令1 执行命令2

    3、突破文件大小限制

    通过上面的burpsuite,可以看到对于文件的大小是有限制的,限定在100k

    文件大小限制

    在默认情况下,上传2.php不能成功,原因是2.php的大小为176k大于默认的100k


    上传2.php

    下面,如果将其进行修改,并且上传一个比较大的文件(超过100k),是否能够成功:
    开始截断功能,并将100000修改为1000000,然后在forward

    截断修改 上传成功

    通过上述描述,可以看到基于客户端的大小限制是能够被绕过的,应用程序不仅要在客户端进行校验限制,而且也要在服务端进行校验限制。

    4、medium中安全级别upload测试

    文件mime-type类型查看:文件头和扩展名

    mime类型

    将安全级别设置为“medium”,然后查看源代码,发现服务端对文件的mimetype类型(须为image/jpeg)、文件大小(100k)进行了限制。

    view source

    下面将1.php在重新上传(将此前的上传先删除/var/www/dvwa/hackable/uploads/),并通过代理截断将mimetype类型修改为image/jpeg,并forward:

    原有mime-type 修改mime-type 上传成功 成功执行

    5、high高安全级别upload测试

    将安全级别设置为“high”,查看源代码,发现对文件的扩展名进行了校验,只允许jpg/JPG、jpeg/JPEG

    view source

    使用代理截断,对扩展名进行修改,看能否绕过

    修改扩展名 上传成功

    6、文件头绕过过滤上传webshell

    对于除了判断扩展名,应用程序可以还可以通过文件中的文件头进行判断,文件头用于定义文件的类型,比如下面的原始图片,body中的png定义的是图片:


    原始图片文件头

    但却可以将下面的图片(乱码部分)使用php代码进行替换,这样就达到了即使对文件头进行校验,仍然是png,但是执行代码却在body中可以执行。
    由于图片是静态文件,因此将filename改为1.php.jpg


    将php代码写入body文件头部分

    查看上传结果


    成功上传

    验证结果:

    命令执行结果1 命令执行结果2

    7、防范文件上传方法

    安全配置、安全编码、上传目录权限设置

    相关文章

      网友评论

          本文标题:二十一、手动漏洞挖掘(5)文件上传

          本文链接:https://www.haomeiwen.com/subject/zgmgpxtx.html