还是以Metasploitable中的DWVA为例
我们上传一张照片后:
但是这里却显示了文件的路径,我们试猜想,如果上传的不是一个图片,而是一个php文件,而且文件中包含一句话木马,会不会有不同的效果
为了验证,这里我编写了一个简单的一句话木马1.php文件
功能很简单打开cmd命令,将cmd命令的结果echo到页面中
同样这里上传成功:
可以在输入框内将此路径放置在后面, 并且给cmd命令赋值:
漏洞利用成功,这是最简单的文件上传漏洞利用
但是这种方式在DVWA为最低安全级别,调制中安全级别,就会对文件类型做以判断,这时就需要用burpsuite来干涉发包行为,我们先对其数据包进行截断查看:
修改如下:
果然在客户端已经显示,我们将php文件已经上传:
再次利用成功
如果把安全级别调制高安全级别:
对于高安全级别,先查看其源代码
我们继续用burpsuite截断:
和之前同理我们修改其Content-Type,但是发现没有效果,因为此时的filename为1.php,我们既要将文件名修改为jpg类型的,又要符合PHP脚本后缀(为了让文件执行),这里可以这样做:
利用成功:
小结:在利用文件上传漏洞时候,结合burpsuite去截断查看数据包内容,可以猜测开发者的代码思路,从而进行漏洞利用
问题:如何对图片传输进行严格卡控?
对其输出的二进制文件,进行字节遍历,从而判断文件类型。如果对文件头卡控不严格,我们可以对其burpsuite截断,将一句话木马放到文件二进制字节后面(但是文件类型还需要有php,因为apache默认不会执行jpg文件)
或者我们对文件存放的目录权限降低,也可进行防守效果