DVWA靶场File Upload(文件上传) 漏洞所有级别通关教程及源码审计

文件上传

文件上传漏洞是由于对上传文件的内、类型没有做严格的过滤、检查，使得攻击者可以通过上传木马文件获取服务器的webshell文件

low

上传一个php文件，上传成功，并且可以在WWW\DVWA\hackable\uploads目录下找到该文件

此难度没有做任何过滤，所有文件都可以上传

源码审计

没有做任何过滤，很危险的行为

<?phpif( isset( $_POST[ 'Upload' ] ) ) { // 检查表单是否提交了"Upload"按钮// 定义目标上传路径$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; // 设置目标路径为一个固定目录$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); // 将上传文件的基础名称附加到目标路径// 尝试将文件移动到上传文件夹if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { // 如果移动失败// 上传失败，显示错误信息$html .= '<pre>Your image was not uploaded.</pre>'; // 提示用户图像未上传}else { // 如果成功// 上传成功$html .= "<pre>{$target_path} successfully uploaded!</pre>"; // 提示用户图像成功上传，并显示路径}
}
?>

medium

先上传一个php文件

只允许上传jpg/png图片，那么就上传这两种图片

上传成功

源码审计

只允许上传文件类型jpg/png内容，以及文件大小小于10000字节，过滤并不严谨

<?phpif( isset( $_POST[ 'Upload' ] ) ) { // 检查表单是否提交了"Upload"按钮// 定义目标上传路径$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; // 设置目标路径为一个固定目录$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); // 将上传文件的基础名称附加到目标路径// 文件信息$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; // 获取上传文件的名称$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ]; // 获取上传文件的类型$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; // 获取上传文件的大小// 检查是否为图像文件if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) && // 如果是JPEG或PNG格式( $uploaded_size < 100000 ) ) { // 并且文件大小小于100000字节（约100KB）// 尝试将文件移动到上传文件夹if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { // 如果移动失败// 上传失败，显示错误信息$html .= '<pre>Your image was not uploaded.</pre>'; // 提示用户图像未上传}else { // 如果成功// 上传成功$html .= "<pre>{$target_path} successfully uploaded!</pre>"; // 提示用户图像成功上传，并显示路径}}else { // 如果文件不符合条件// 提示无效文件$html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; // 提示用户只接受JPEG或PNG格式的图像}
}
?>

high

根据提示只允许上传图片文件，上传一个jpg图片结果上传失败

上传并抓包，发送到重放器

添加文件头即可，GIF89a

源码审计

限制了文件后缀及文件内容是否有效，对文件类型过滤不严谨，如果添加文件头，则会被解析为一个jpg文件，就可以正常上传

<?phpif( isset( $_POST[ 'Upload' ] ) ) { // 检查是否有提交的"Upload"表单// 定义目标写入路径$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; // 设置目标路径为指定文件夹$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); // 将上传文件的基础名称附加到目标路径// 文件信息$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; // 获取上传文件的名称$uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); // 提取上传文件的扩展名$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; // 获取上传文件的大小$uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ]; // 获取上传文件的临时存储路径// 检查文件是否为图像if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) && // 如果扩展名是jpg、jpeg或png（不区分大小写）( $uploaded_size < 100000 ) && // 并且文件大小小于100000字节（约100KB）getimagesize( $uploaded_tmp ) ) { // 并且临时文件是有效图像// 尝试将文件移动到上传文件夹if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) { // 如果移动失败// 上传失败，显示错误信息$html .= '<pre>Your image was not uploaded.</pre>'; // 提示用户图像未上传}else { // 如果成功// 上传成功$html .= "<pre>{$target_path} successfully uploaded!</pre>"; // 提示用户图像成功上传，并显示文件路径}}else { // 如果文件不符合条件// 提示无效文件$html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; // 提示用户只接受JPEG或PNG格式的图像}
}
?>

impossible

源码审计

非常严格的过滤，对上传的文件进行了重命名（搞了一个MD5的加密），还增加了token值的校验，对文件的内容也做了严格的检查。

<?phpif( isset( $_POST[ 'Upload' ] ) ) { // 检查是否提交了"Upload"表单// 检查反CSRF令牌checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' ); // 验证用户令牌是否与会话令牌匹配// 文件信息$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; // 获取上传文件的名称$uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); // 提取上传文件的扩展名$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; // 获取上传文件的大小$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ]; // 获取上传文件的类型$uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ]; // 获取上传文件的临时存储路径// 设置目标写入路径$target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/'; // 目标上传路径//$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-'; // 原来可以使用的文件名$target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext; // 生成一个唯一的文件名$temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) ); // 获取临时文件目录$temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext; // 生成临时文件的完整路径// 检查文件是否为图像if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) && // 检查扩展名( $uploaded_size < 100000 ) && // 检查文件大小( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) && // 检查文件类型getimagesize( $uploaded_tmp ) ) { // 检查文件是否为有效图像// 去除任何元数据，通过重新编码图像（推荐使用php-Imagick替代php-GD）if( $uploaded_type == 'image/jpeg' ) { // 如果文件类型为JPEG$img = imagecreatefromjpeg( $uploaded_tmp ); // 创建JPEG图像imagejpeg( $img, $temp_file, 100); // 以最高质量重新编码并保存到临时文件}else { // 如果文件类型为PNG$img = imagecreatefrompng( $uploaded_tmp ); // 创建PNG图像imagepng( $img, $temp_file, 9); // 以最高压缩率重新编码并保存到临时文件}imagedestroy( $img ); // 销毁图像资源以释放内存// 尝试将文件从临时文件夹移动到目标路径if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) { // 如果移动成功// 上传成功$html .= "<pre><a href='{$target_path}{$target_file}'>{$target_file}</a> successfully uploaded!</pre>"; // 显示上传成功的消息，并提供文件链接}else { // 如果移动失败// 上传失败$html .= '<pre>Your image was not uploaded.</pre>'; // 提示用户图像未上传}// 删除任何临时文件if( file_exists( $temp_file ) ) // 如果临时文件存在unlink( $temp_file ); // 删除临时文件}else { // 如果文件不符合条件// 提示无效文件$html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>'; // 提示用户只接受JPEG或PNG格式的图像}
}// 生成反CSRF令牌
generateSessionToken();
?>