DVWA-File Upload文件上传（全等级）

 上传文件

 上传成功，打开中国菜刀，右键添加，输入路径为上方文件上传到的路径http://127.0.0.1/DVWA-master/hackable/uploads/2.php，参数口令为lxk

（根据后面的经验来看，每使用一次菜刀需要把数据清除干净，否则可能会是上一次的遗留结果）

然后菜刀就会通过向服务器发送包含gxy参数的post请求，在服务器上执行任意命令，获取webshell权限。

可以下载、修改服务器的所有文件

Medium

查看代码

 可以看到，Medium级别的代码对上传文件的类型、大小做了限制，要求文件类型必须是jpeg或者png，大小不能超过100000B（约为97.6KB）。

方法一 文件包含+文件上传

采用的是一句话木马，文件大小不会有问题，至于文件类型的检查，尝试修改文件名为2.png。

 上传成功

 打开中国菜刀

虽然成功上传了文件，但是并不能成功获取webshell权限，在菜刀上无论进行什么操作都会返回如下信息。

中国菜刀的原理是向上传文件发送包含lxk参数的post请求，通过控制lxk参数来执行不同的命令，而这里服务器将木马文件解析成了图片文件，因此向其发送post请求时，服务器只会返回这个“图片”文件，并不会执行相应命令。

那么如何让服务器将其解析为php文件呢？我们想到文件包含漏洞程。这里可以借助Medium级别的文件包含漏洞来获取webshell权限，打开中国菜刀，右键添加，在地址栏中输入  http://127.0.0.1/DVWA-master/vulnerabilities/fi/?page=hthttp://tp://127.0.0.1/DVWA-master/hackable/uploads/2.png  

参数名为lxk,脚本语言选择php

 成功获取webshell权限

方法二  抓包修改文件类型

上传2.png文件，抓包

 可以看到文件类型为image/png，尝试修改filename为2.php，修改完毕后，点击Forward

 发现上传成功

打开菜刀，获取webshell权限

 方法三 截断绕过规则

在php版本小于5.3.4的服务器中，当Magic_quote_gpc选项为off时，可以在文件名中使用%00截断，所以可以把上传文件命名为2.php%00.png。

可以看到，包中的文件类型为image/png，可以通过文件类型检查

抓包看看，点击Forward

发现上传成功，接下来的步骤就是使用菜刀，和之前连接菜刀的方法一样

 High

查看代码

strrpos(string,find,start)

 函数返回字符串find在另一字符串string中最后一次出现的位置，如果没有找到字符串则返回false，可选参数start规定在何处开始搜索。

getimagesize(string filename)

函数会通过读取文件头，返回图片的长、宽等信息，如果没有相关的图片文件头，函数会报错。

可以看到，High级别的代码读取文件名中最后一个”.”后的字符串，期望通过文件名来限制文件类型，因此要求上传文件名形式必须是”*.jpg”、”*.jpeg” 、”*.png”之一。同时，getimagesize()函数更是限制了上传文件的文件头必须为图像类型。

我们需要将上传文件的文件头伪装成图片，首先利用copy命令将一句话木马文件2.php与正常的图片文件1.jpg合并

打开cmd 输入 copy 1.jpg/b+2.php/a 3.jpg      (这里说明下 1.jpg是图片，2.php是一句话木马，3.jpg就是含有木马的图片)

我们打开含有木马的图片，会发现一句话木马被写在了最后

 然后我们试着将生成的木马图片文件hack.jpg上传，上传成功。

 接下来就可以连接菜刀，方法和上面所展示的一样，此处不再赘述

Impossible

查看代码

in_get(varname)

函数返回相应选项的值

imagecreatefromjpeg ( filename )

函数返回图片文件的图像标识，失败返回false

imagejpeg ( image , filename , quality)

从image图像以filename为文件名创建一个JPEG图像，可选参数quality，范围从0（最差质量，文件更小）到100（最佳质量，文件最大）。

imagedestroy( img )

函数销毁图像资源

可以看到，Impossible级别的代码对上传文件进行了重命名（为md5值，导致%00截断无法绕过过滤规则），加入Anti-CSRF token防护CSRF攻击，同时对文件的内容作了严格的检查，导致攻击者无法上传含有恶意脚本的文件。