DVWA

DVWA => 备份地址

File Upload(文件上传)

Low

• 手动测试

  • 手动上传恶意文件

    上传bad.php。

  • 访问恶意文件

    1	http://train.com/dvwa/vulnerabilities/upload/../../hackable/uploads/bad.php

• 源码分析

  • 从request中获取上传的文件

    1 2 3

    // Where are we going to be writing to? $target_path = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );

  • 将文件移动至指定目录

    1 2 3 4 5 6

    // Can we move the file to the upload folder? if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { // failure } else { // success }

Medium

• 手动测试

  • 将恶意文件扩展名更改为.png,上传

  • 使用burpsuite拦截上传请求，将文件扩展名更改回.php

    这样，上传请求的Content-Type为image/png，文件却为php。

• 源码分析

  • 从request中获取上传的文件

    与Low级别相同。

  • 获取文件上传信息

    1 2 3 4

    // File information $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ]; $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];

  • 判断HTTP的Content-Type属性

    1 2 3 4 5

    // Is it an image? if( ( $uploaded_type == "image/jpeg" ||$uploaded_type == "image/png" ) && ( $uploaded_size < 100000 ) ) { // yes }

  • 将文件移动至指定目录

    与Low级别相同。

High

• 手动测试

  • 将恶意文件扩展名更改为.png,并在文件头处添加文件头信息

    1 2 3 4 5 6 7

    GIF98 <?php // 将文件头设置为`GIF98` phpinfo(); ?>

  • 上传后使用File Inclusion漏洞包含此文件

    1 2	# File Inclusion High http://train.com/dvwa/vulnerabilities/fi/?page=file://C:\xampp\htdocs\DVWA\hackable\uploads/bad.png

• 源码分析

  • 从request中获取上传的文件

    与Medium级别相同。

  • 获取HTTP的Content-Type;文件信息

    1 2 3 4 5 6

    // File information $uploaded_name = $_FILES[ 'uploaded' ][ 'name' ]; $uploaded_ext = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1); $uploaded_size = $_FILES[ 'uploaded' ][ 'size' ]; $uploaded_type = $_FILES[ 'uploaded' ][ 'type' ]; $uploaded_tmp = $_FILES[ 'uploaded' ][ 'tmp_name' ];

  • 判断HTTP的Content-Type;文件类型为image;文件头检测

    1 2 3 4 5 6 7 8 9 10

    // 判断文件扩展名 // Is it an image? if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) && ( $uploaded_size < 100000 ) && ( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) && getimagesize( $uploaded_tmp ) ) { // getimagesize(file) 限制文件大小，并通过文件头判断文件类型 }

  • 将文件移动至指定目录

    与Medium级别相同。

Impossible

• 源码分析

  • 使用token验证身份

    1 2	// Check Anti-CSRF token checkToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );

  • 获取HTTP的Content-Type与文件信息

    与High级别相同。

  • 将文件 重命名 后移动至指定目录

    1 2 3

    // 使用md5加密文件名 //$target_file = basename( $uploaded_name, '.' . $uploaded_ext ) . '-'; $target_file = md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;

    1 2 3 4

    // Can we move the file to the web root from the temp folder? if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) { // yes }

文件头

• 常见文件头

  type	header
  bmp	424D
  gif	GIF98
  jpeg	FF D8 FF
  jpg	FF D8 FF
  png	89 50 4E 47 0D 0A
  zip	504B0304

tmux 会话

tmux默认先导快捷键(PREFIX)为<C-b>。

• 创建会话

  1 2 3 4

  # 创建无名会话 tmux # 创建名为 name 的会话 tmux new -s name

• 断开会话

  1 2 3

  # 断开当前会话，会话在后台运行 tmux detach # 快捷键 PREFIX-d

• 列出所有现存会话

  1 2 3 4

  # 列出所有会话 tmux list-session # 简化命令 tmux ls

• 重连会话

  1 2 3 4 5 6

  # 重连名为 name 的会话 tmux attach-session -t name # 简写 a tmux a -t name # 默认重边第一个会话 tmux a

• 关闭会话

  1 2 3 4

  # 关闭名为 name 的会话 tmux kill-session -t name # 关闭所有的会话 tmux kill-server

• 切换会话

  1 2	# 先导快捷键松开后，再按`s`，进入会话选择画面，按`序号`进入对应会话;或`方向键`选择会话; PREFIX-s

• 配置文件

  1	~/.tmux.conf

tmux 窗口

• 创建新窗口

  1 2	# 先导快捷键松开后，再按`c`，创建新的窗口 PREFIX-c

• 切换窗口

  1 2 3 4 5 6

  # 先导快捷键松开后，再按`n`,切换至下个窗口 PREFIX-n # `p`,切换至上个窗口 PREFIX-p # 先导快捷键松开后，再按`w`，进入窗口选择画面，按`序号`进入对应窗口，或`方向键`选择 PREFIX-w

tmux 面板

分屏: 一个窗口可以分割为多个面板(panel)。

• 竖直分屏

  1 2	# 先导快捷键松开后，再按`"`，以竖直线分割窗口 PREFIX-"

• 水平分屏

  1 2	# 先导快捷键松开后，再按`%`,以水平线分割窗口 PREFIX-%