当前位置：首页 > news >正文

DVWA-File Upload文件上传

news 2025/11/4 3:26:28

什么是文件上传漏洞？

黑客利用文件上传后服务器解析处理文件的漏洞上传一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。

造成文件上传漏洞的原因:

1.服务器配置不当

2.开源编辑器上传漏洞

3.本地文件上传限制被绕过

4.过滤不严格被绕过

5.文件解析漏洞导致文件执行

6.文件路径截断

pikachu靶场-Unsafe Upfileupload_打开pikachu平台中的 unsafe upfileupload 客户端check,上传其他格式文-CSDN博客具体操作请看这篇文章

low等级

<?phpif( isset( $_POST[ 'Upload' ] ) ) {// Where are we going to be writing to?$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );// Can we move the file to the upload folder?if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {// No$html .= '<pre>Your image was not uploaded.</pre>';}else {// Yes!$html .= "<pre>{$target_path} succesfully uploaded!</pre>";}
}?>

php basename()函数给出一个包含有指向一个文件的全路径的字符串，本函数返回基本的文件名。

只是实现一个，无任何过滤和验证，直接上传文件即可

medium等级

<?phpif( isset( $_POST[ 'Upload' ] ) ) {// Where are we going to be writing to?$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );// File information$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];// Is it an image?if( ( $uploaded_type == "image/jpeg" || $uploaded_type == "image/png" ) &&( $uploaded_size < 100000 ) ) {// Can we move the file to the upload folder?if( !move_uploaded_file( $_FILES[ 'uploaded' ][ 'tmp_name' ], $target_path ) ) {// No$html .= '<pre>Your image was not uploaded.</pre>';}else {// Yes!$html .= "<pre>{$target_path} succesfully uploaded!</pre>";}}else {// Invalid file$html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';}
}?>

获取用户上传文件的名称、类型和大小信息。通过文件类型限定只能上传图片，限制了大小100000b。

抓包后修改后缀名即可绕过检测

high等级

<?phpif( isset( $_POST[ 'Upload' ] ) ) {// Where are we going to be writing to?$target_path  = DVWA_WEB_PAGE_TO_ROOT . "hackable/uploads/";$target_path .= basename( $_FILES[ 'uploaded' ][ 'name' ] );// File information$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];$uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];$uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];// Is it an image?if( ( strtolower( $uploaded_ext ) == "jpg" || strtolower( $uploaded_ext ) == "jpeg" || strtolower( $uploaded_ext ) == "png" ) &&( $uploaded_size < 100000 ) &&getimagesize( $uploaded_tmp ) ) {// Can we move the file to the upload folder?if( !move_uploaded_file( $uploaded_tmp, $target_path ) ) {// No$html .= '<pre>Your image was not uploaded.</pre>';}else {// Yes!$html .= "<pre>{$target_path} succesfully uploaded!</pre>";}}else {// Invalid file$html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';}
}?>

getimagesize() 函数用于获取图像大小及相关信息，成功返回一个数组，失败则返回 FALSE 并产生一条 E_WARNING 级的错误信息。

getimagesize() 函数将测定任何 GIF，JPG，PNG，SWF，SWC，PSD，TIFF，BMP，IFF，JP2，JPX，JB2，JPC，XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及文件类型及图片高度与宽度。

move_uploaded_file（file,newlocal）函数表示把给定的文件移动到新的位置

上传文件名为file.jpg，且文件内容为<?php @eval($_POST['hacker']);?>，此时页面将报错，显示上传失败，因为getimagesize()函数判断该文件不是有效的图片文件，所以需要在文件中加入文件头GIF89a。

也可制作图片马进行绕过（具体教程在pikachu靶场处已经写明）

impossible等级

<?phpif( isset( $_POST[ 'Upload' ] ) ) {// Check Anti-CSRF tokencheckToken( $_REQUEST[ 'user_token' ], $_SESSION[ 'session_token' ], 'index.php' );// File information$uploaded_name = $_FILES[ 'uploaded' ][ 'name' ];$uploaded_ext  = substr( $uploaded_name, strrpos( $uploaded_name, '.' ) + 1);$uploaded_size = $_FILES[ 'uploaded' ][ 'size' ];$uploaded_type = $_FILES[ 'uploaded' ][ 'type' ];$uploaded_tmp  = $_FILES[ 'uploaded' ][ 'tmp_name' ];// Where are we going to be writing to?$target_path   = DVWA_WEB_PAGE_TO_ROOT . 'hackable/uploads/';//$target_file   = basename( $uploaded_name, '.' . $uploaded_ext ) . '-';$target_file   =  md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;$temp_file     = ( ( ini_get( 'upload_tmp_dir' ) == '' ) ? ( sys_get_temp_dir() ) : ( ini_get( 'upload_tmp_dir' ) ) );$temp_file    .= DIRECTORY_SEPARATOR . md5( uniqid() . $uploaded_name ) . '.' . $uploaded_ext;// Is it an image?if( ( strtolower( $uploaded_ext ) == 'jpg' || strtolower( $uploaded_ext ) == 'jpeg' || strtolower( $uploaded_ext ) == 'png' ) &&( $uploaded_size < 100000 ) &&( $uploaded_type == 'image/jpeg' || $uploaded_type == 'image/png' ) &&getimagesize( $uploaded_tmp ) ) {// Strip any metadata, by re-encoding image (Note, using php-Imagick is recommended over php-GD)if( $uploaded_type == 'image/jpeg' ) {$img = imagecreatefromjpeg( $uploaded_tmp );imagejpeg( $img, $temp_file, 100);}else {$img = imagecreatefrompng( $uploaded_tmp );imagepng( $img, $temp_file, 9);}imagedestroy( $img );// Can we move the file to the web root from the temp folder?if( rename( $temp_file, ( getcwd() . DIRECTORY_SEPARATOR . $target_path . $target_file ) ) ) {// Yes!$html .= "<pre><a href='{$target_path}{$target_file}'>{$target_file}</a> succesfully uploaded!</pre>";}else {// No$html .= '<pre>Your image was not uploaded.</pre>';}// Delete any temp filesif( file_exists( $temp_file ) )unlink( $temp_file );}else {// Invalid file$html .= '<pre>Your image was not uploaded. We can only accept JPEG or PNG images.</pre>';}
}// Generate Anti-CSRF token
generateSessionToken();?>

imagecreatefromjpeg(filename)：从给定的文件或url中创建一个新的图片

imagejpeg(image,filename,quality)：从image图像中以 filename 文件名创建一个jpeg的图片，参数quality可选，0-100 (质量从小到大)

imagedestroy(image)：销毁图像

Impossible级别的代码对上传文件进行了重命名（为md5值，导致%00截断无法绕过过滤规则），加入Anti-CSRF token防护CSRF攻击，对上传的图片文件进行重新编码，以去除任何元数据在文件移动后，删除任何临时文件，确保不会留下无用文件，导致攻击者无法上传含有恶意脚本的文件。

DVWA-File Upload文件上传

什么是文件上传漏洞？ 黑客利用文件上传后服务器解析处理文件的漏洞上传一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。造成文件上传漏洞的原因: 1.服务器配置不当 2.开源编辑器上传漏洞 3.本地文件上传限制被绕过 4.过滤不严格被…...

编程日记 2024/3/16 22:02:41

#pip install python-docx import docx import os pathos.path.abspath(__file__) file_pathos.path.join(path,"大题.docx") print(path) print(file_path) objdocx.Document("大题.docx") #第一个段落 p1obj.paragraphs[2] # print(p1.text) #所有段落 #…...

编程日记 2024/3/16 22:00:39

Linux下新增有root权限的用户

步骤： 1.以 root 用户身份登录到 CentOS 服务器。 2.使用以下命令创建新用户（将 newuser 替换为您想要创建的用户名）： sudo adduser username 3.为新用户设置密码： sudo passwd username 按照提示输入新增用户密码 …...

编程日记 2024/3/16 21:59:38

RPC通信原理（一）

RPC通信原理 RPC的概念如果现在我有一个电商项目，用户要查询订单，自然而然是通过Service接口来调用订单的实现类。我们把用户模块和订单模块都放在一起，打包成一个war包，然后再tomcat上运行，tomcat占有一个进程&am…...

编程日记 2024/3/16 21:55:35

修改/etc/resolve.conf重启NetworkManager之后自动还原

我ping 百度报错： [rootk8snode1 ~]# ping baidu.com ping: baidu.com: Name or service not known很明显，这是DNS解析问题。于是我修改 /etc/resolv.conf 文件后，执行完sudo systemctl restart NetworkManager，/etc/resolv.con…...

编程日记 2024/3/16 21:53:34

Web前端依赖版本管理最佳实践

本文需要读者懂一点点前端的构建知识： 1. package.json文件的作用之一是管理外部依赖；2. .npmrc是npm命令默认配置，放在工程根目录。 Web前端构建一直都是一个不难，但是非常烦人的问题，在DevOps、CI/CD领域。烦人的是…...

编程日记 2024/3/16 21:50:28

多线程进阶

一.常见的锁策略这里所讲的锁，不是一把具体的锁，而是锁的特性 1.乐观锁和悲观锁悲观乐观是对锁冲突大小的预测若预测锁冲突概率不大，就可能会少一些工作，那就是乐观锁；反之就是悲观锁总是假设最坏的情况&…...

编程日记 2024/3/16 21:48:25

总结linux常用命令

Linux常用命令总结如下： 文件与目录操作： ls：列出目录内容cd：改变当前目录pwd：显示当前工作目录mkdir：创建新目录cp：复制文件或目录rm：删除文件或目录mv：移动或重命名文件…...

编程日记 2024/3/16 21:44:19

C++ 枚举

C 枚举 5.4.1普通枚举枚举的定义：，枚举类型是通过enum关键字定义的，比如定义颜色类型 enum Color {RED, // 默认值为0GREEN, // 默认值为1BLUE // 默认值为2 }; Color myColor RED;注意： （1）括…...

编程日记 2024/3/16 21:43:18

Vue2在一个页面内动态切换菜单显示对应的路由组件

项目的需求是在一个页面内动态获取导航菜单，导航菜单切换的时候显示对应的路由页面，类似于tab切换的形式，切换的导航菜单和页面左侧导航菜单是同一个路由组件，只是放到了一个页面上，显示的个数不同，所有是动…...

编程日记 2024/3/16 21:42:17

执行任务赚积分C卷(JavaPythonC++Node.jsC语言)

现有N个任务需要处理，同一时间只能处理一个任务，处理每个任务所需要的时间固定为1。每个任务都有最晚处理时间限制和积分值，在最晚处理时间点之前处理完成任务才可获得对应的积分奖励。可用于处理任务的时间有限，请问在有限的时间内，可获得的最多积分。输入描述第一…...

编程日记 2024/3/16 21:41:16

接口测试之文件下载

在工作中对于下载接口，经常会有这样的疑问：这类接口一般功能比较稳定，但是又比较重要，需要占用回归测试时间，有没有可替代的方式？ 答案肯定是有的，可以从接口测试/UI自动化测试介入&#xff0c…...

编程日记 2024/3/16 21:40:15

算法思想总结：双指针算法

一、移动零 . - 力扣（LeetCode） 移动零该题重要信息：1、保持非0元素的相对位置。2、原地对数组进行操作思路：双指针算法 class Solution { public:void moveZeroes(vector<int>& nums){int nnums.size();for(int cur…...

编程日记 2024/3/16 21:38:13

python中的zip函数

1.zip（）同时迭代多个列表、字典等使用zip()可以同时迭代多个可迭代对象，如列表、字典。注意：当若干个可迭代对象的长度不相等时，zip()函数会停止在最短的可迭代对象。例子： # 定义可迭代对象 numbers …...

编程日记 2024/3/16 21:37:12

Element 选择季度组件

<template><el-dialogtitle"选择季度":show-close"false":close-on-click-modal"false":close-on-press-escape"false":visible"visiable"class"dialog list"append-to-body><div><div>&…...

编程日记 2024/3/16 21:36:11

4.MongoDB中16个常用CURD

基本的CURD 作为一个非专业的DBA，我们只需要会一些基本的curd就行，专业的内容还是需要专业的人去干的。CRUD 也就是增删改查，这是数据库最基本的功能，查询还支持全文检索，GEO 地理位置查询等。 01创建库无需单独创…...

编程日记 2024/3/16 21:35:10

Tomcat数据源笔记

Tomcat数据源笔记连接池的概念连接池是一种由容器提供的机制，用于管理数据库连接对象的集合。连接池的主要作用是在应用程序需要与数据库进行交互时，提供可复用的连接对象，从而减少每次建立数据库连接的开销。连接池的工作原理连接池的…...

编程日记 2024/3/16 21:34:09

Spring-Kafka笔记整理

引入依赖<dependency><groupId>org.springframework.kafka</groupId><artifactId>spring-kafka</artifactId> </dependency>配置application.propertiesspring.kafka.bootstrap-servers192.168.99.51:9092编写kafka的配置类Configuration …...

编程日记 2024/3/16 21:30:04

已解决org.apache.hadoop.hdfs.protocol.QuotaExceededException异常的正确解决方法，亲测有效！！！

已解决org.apache.hadoop.hdfs.protocol.QuotaExceededException异常的正确解决方法，亲测有效！！！ 目录问题分析报错原因解决思路解决方法总结博主v：XiaoMing_Java 问题分析在使用Hadoop分布式文件系统&a…...

编程日记 2024/3/16 21:29:03

GitHub打不开的解决方案（超简单）

在国内，github官网经常面临打不开或访问极慢的问题，不挂VPN（梯子，飞机，魔法）使用体验极差，那有什么好办法解决github官网访问不了的问题？今天小布教你几招轻松访问github官网。 git…...

编程日记 2024/3/16 21:26:01

网络编程（Modbus进阶）

思维导图 Modbus RTU（先学一点理论） 概念 Modbus RTU 是工业自动化领域最广泛应用的串行通信协议，由 Modicon 公司（现施耐德电气）于 1979 年推出。它以高效率、强健性、易实现的特点成为工业控制系统的通信标准。包…...

编程新知 2025/11/3 4:15:14

零门槛NAS搭建：WinNAS如何让普通电脑秒变私有云？

一、核心优势：专为Windows用户设计的极简NAS WinNAS由深圳耘想存储科技开发，是一款收费低廉但功能全面的Windows NAS工具，主打“无学习成本部署” 。与其他NAS软件相比，其优势在于： 无需硬件改造：将任意W…...

编程新知 2025/9/22 15:46:39

安宝特方案丨XRSOP人员作业标准化管理平台：AR智慧点检验收套件

在选煤厂、化工厂、钢铁厂等过程生产型企业，其生产设备的运行效率和非计划停机对工业制造效益有较大影响。随着企业自动化和智能化建设的推进，需提前预防假检、错检、漏检，推动智慧生产运维系统数据的流动和现场赋能应用。同时，…...

编程新知 2025/11/1 19:15:39

基于当前项目通过npm包形式暴露公共组件

1.package.sjon文件配置其中xh-flowable就是暴露出去的npm包名 2.创建tpyes文件夹，并新增内容 3.创建package文件夹...

编程新知 2025/10/25 12:05:20

Java - Mysql数据类型对应

Mysql数据类型java数据类型备注整型INT/INTEGERint / java.lang.Integer–BIGINTlong/java.lang.Long–––浮点型FLOATfloat/java.lang.FloatDOUBLEdouble/java.lang.Double–DECIMAL/NUMERICjava.math.BigDecimal字符串型CHARjava.lang.String固定长度字符串VARCHARjava.lang…...

编程新知 2025/9/25 14:10:40