web安全之DVWA文件上传(五)

2017-11-12

安全

dvwa, web安全, 文件上传

文件上传应用比包含要广泛的多,因为文件包含必须存在包含的url才行. 而这是很容易被看出来的,一般也不会这么直接的去使用. 但是文件上传这的漏洞就大有学问了.一起来看看

0x00. 回顾

文件上传的漏洞跟应用场景非常多见,就不多说了,这里引用一个老话

“千里之堤,毁于蚁穴” .我们要做的就是在堤坝上找一个地方安身.

0x01. 实战

直接开始实战,low等级就不说了,没有对文件做任何处理,随便上传hacker.php执行提权….

medium也不多说了,就是之前最开始CTF题说的,把请求中的content-type修改一下.没什么防御性.

1 2	Content-Disposition: form-data; name="uploaded"; filename="evil.php" Content-Type: image/png

直接说high吧.上代码

<?php
if( isset( $_POST[ 'Upload' ] ) ) {
    // Where are we going to be writing to?
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Can we move the file to the upload folder?
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // Yes!
            echo "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}
?>

看到这里做了以下防护.

upload_ext 参数是对上传文件名做了切割,判断了文件的后缀跟文件的内容.

那么我们就想想,文件内容其实一般就是做了什么过滤或者头检测.这里又引入了一个新的关键技巧.制作hacker图!

利用文件合并,或者简单的命令可以实现,在图片的末尾藏入信息.命令如下

1	copy kali.jpg/b+evil.php/a hacker.jpg

效果如下.

二进制查看会发现最后藏入了php的代码. 那么图片现在上传了, 怎么去利用呢?

直接访问发现拒绝了,不允许jpg去执行什么参数. 这里就要结合上一环中的文件包含file:// 协议了.因为你要想,图片是不能直接执行的. 但是php的包含函数会自动去识别文件中的php代码. 这样就利用起来,才能执行这个文件上传漏洞. (直接执行是不能的注意.浪费我bs上去试了好久….) 这里还要注意图片不能大了. 不然也会被ban掉.

正可谓是“united we stand divided we fall”

impossible难度的代码

<?php

if( isset( $_POST[ 'Upload' ] ) ) {
    // Check Anti-CSRF token
    checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );


    // File information
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];
    $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];

    // Where are we going to be writing to?
    $target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';
    //$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';
    $target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;
    $temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );
    $temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    // Is it an image?
    if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&
        ( $uploaded_size < 100000 ) &&
        ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&
        getimagesize( $uploaded_tmp ) ) {

        // Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)
        if( $uploaded_type == 'image/jpeg' ) {
            $img = imagecreatefromjpeg( $uploaded_tmp );
            imagejpeg( $img, $temp_file, 100);
        }
        else {
            $img = imagecreatefrompng( $uploaded_tmp );
            imagepng( $img, $temp_file, 9);
        }
        imagedestroy( $img );

        // Can we move the file to the web root from the temp folder?
        if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {
            // Yes!
            echo "<pre><a href='${target_path}${target_file}'>${target_file}</a> succesfully uploaded!</pre>";
        }
        else {
            // No
            echo '<pre>Your image was not uploaded.</pre>';
        }

        // Delete any temp files
        if( file_exists( $temp_file ) )
            unlink( $temp_file );
    }
    else {
        // Invalid file
        echo '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

// Generate Anti-CSRF token
generateSessionToken();

?>

可以看到除了老朋友token,这里对上传的所有图片进行了二次处理/编码. 这样里面的代码就基本无法利用了.而且会把名字也编码打乱.

0x02. 思考

上面的利用结束之后,大家肯定觉得不太对,这里如果只上传了文件,但是没有文件包含的漏洞,岂不是就无法提权了? 或者有文件包含的漏洞,但是没有文件上传的权限,也无法提权呀.

好问题,这里还有个大名鼎鼎的Ningx畸形解析漏洞. (听说大家现在都喜欢用nginx~?其实是PHP的锅呐

详细分析以及版本影响见此 (本质上是PHP的安全审计问题..)

这里需要包装php.ini 文件中cgi.fix_pathinfo=1 默认是1.如果没有人改的话.

原本路径是,这样访问是一张图片,并不能执行命令.

1	http://localhost/dvwa/vulnerabilities/upload/../../hackable/uploads/evil.php

这里来个截断? 利用 xxx.xxx/xxx.php 的截取. 构造 hacker.jpg/hacker.php

如图,成功,hacker.php 本身却是不存在的注意.

所以黑名单阻止的办法总会存在漏洞的.代码无处不在,你是绝对不能信任用户的. Impossible中的方法,就是不信任任何上传,都会重命名以及文件压缩重生成. 还是那句话,最小信任权限 ~ 总价补充一下防范方法:

文件重命名,文件压缩.
检测文件头以及content-type
不暴露路径
存储目录取消执行权限
图片存储与 web服务分离.