网络攻击与防御之File Upload

参考网站：
https://www.freebuf.com/articles/web/119467.html
low
漏洞利用
上传文件hack.php（一句话木马）

上传成功，并且返回了上传路径

打开中国菜刀，右键添加，地址栏填入上传文件所在路径http://localhost:8080/DVWA/vulnerabilities/upload/hack.php
参数名（一句话木马口令）为apple。

然后菜刀就会通过向服务器发送包含apple参数的post请求，在服务器上执行任意命令，获取webshell权限。
可以下载、修改服务器的所有文件。

Medium
漏洞利用
1.组合拳（文件包含+文件上传）
因为采用的是一句话木马，所以文件大小不会有问题，至于文件类型的检查，尝试修改文件名为hack.png。

上传成功。

启用中国菜刀。

虽然成功上传了文件，但是并不能成功获取webshell权限，在菜刀上无论进行什么操作都会返回如下信息。

中国菜刀的原理是向上传文件发送包含apple参数的post请求，通过控制apple参数来执行不同的命令，而这里服务器将木马文件解析成了图片文件，因此向其发送post请求时，服务器只会返回这个“图片”文件，并不会执行相应命令。
文件包含漏洞可以让服务器将其解析为php文件（详见文件包含漏洞教程）。这里可以借助Medium级别的文件包含漏洞来获取webshell权限，打开中国菜刀，右键添加，在地址栏中输入http://localhost:8080/DVWA/vulnerabilities/fi/?page=hthttp://tp://http://localhost:8080/DVWA/vulnerabilities/upload/hack.png
参数名为apple，脚本语言选择php。

点击添加，成功获取webshell权限。

2.抓包修改文件类型
上传hack.png文件，抓包。

可以看到文件类型为image/png，尝试修改filename为hack.php。

上传成功。

上菜刀，获取webshell权限。
3.截断绕过规则
使用%00截断文件名，把上传文件命名为hack.php%00.png。
可以看到，包中的文件类型为image/png，可以通过文件类型检查。

上传成功。

而服务器会认为其文件名为hack.php，顺势解析为php文件。
High
漏洞利用
利用copy将一句话木马文件php.php与图片文件4.jpg合并

生成的文件hack.jpg

打开可以看到，一句话木马藏到了最后。

顺利通过文件头检查，可以成功上传。

上菜刀，右键添加shell，地址栏填入http://localhost:8080/DVWA/vulnerabilities/fi/?page=file:\\D:\phpstudy\hack.jpg

成功拿到webshell。