dvwa靶机上传实战 && Pikachu上传实战(Pikachu-Unsafe Fileupload)
一、dvwa 靶机上传实战
low等级的
源代码如下:
basename(path,suffix)
函数返回路径中的文件名部分,如果可选参数suffix为空,则返回的文件名包含后缀名,反之不包含后缀名。
可以看到,服务器对上传文件的类型、内容没有做任何的检查、过滤,存在明显的文件上传漏洞,生成上传路径后,服务器会检查是否上传成功并返回相应提示信息
上传成功,并且返回了上传路径!!!
打开中国菜刀,右键添加
地址栏填入上传文件所在路径http://192.168.27.156/dvwa/hackable/uploads/4.php
参数名(一句话木马口令)为pp。
Medium等级的
源代码如下:
Medium级别的代码对上传文件的类型、大小做了限制,要求文件类型必须是image或者png,大小不能超过100000B(约为97.6KB)。
抓包修改文件类型:
可以看到文件类型为image/png,尝试修改filename为333.php。
high等级的
源代码如下:
strrpos(string,find,start)
函数返回字符串find在另一字符串string中最后一次出现的位置,如果没有找到字符串则返回false,可选参数start规定在何处开始搜索。
getimagesize(string filename)
函数会通过读取文件头,返回图片的长、宽等信息,如果没有相关的图片文件头,函数会报错。
可以看到,High级别的代码读取文件名中最后一个”.”后的字符串,期望通过文件名来限制文件类型,因此要求上传文件名形式必须是”.jpg”、”.jpeg” 、”*.png”之一。同时,getimagesize函数更是限制了上传文件的文件头必须为图像类型。
我们直接上传一句话木马,然后把文件名改为 4.jpg
所以我们在文件头部加上了jpg格式的 GIF89
在文件头部加了jpg格式的 GIF89 标识后成功上传!
二、Pikachu上传实战(Pikachu-Unsafe Fileupload)
客户端check
上传php文件,直接弹框报错。
直接去找JS代码。
上传成功!!!
服务端check
这样来看,应该是做了白名单的限制了,根据提示来看,可以通过修改mime类型绕过的,burpsuite里面改包上传。
成功上传!!!
getimagesize()
直接用php上传。
上传成功!!!
后续操作请持续关注哦!!!
了解更多请关注下列公众号:
? ? ? ? ? ? ? ? ? ? ? ? ? ? ?????????
? ? ? ? ? ? ? ? ? ? ? ? ? ? ?????????