Pikachu-File Inclusion， Unsafe file download & Unsafe file upload

Pikachu-File Inclusion， Unsafe file download & Unsafe file upload

文件包含漏洞

File Inclusion(文件包含漏洞)概述 文件包含，是一个功能。在各类开发语言中都提供了内置的文件包含函数，其可使开发人员在一个代码文件中直接包含（引入）另一个代码文件。 好比 在PHP中，提供了：
include(),include_once()
require(),require_once()
这些文件包含函数，这些函数在代码设计中被常用到。
大多数状况下，文件包含函数中包含的代码文件是固定的，所以也不会出现安全问题。 可是，有些时候，文件包含的代码文件被写成了一个变量，且这个变量能够由前端用户传进来，这种状况下，若是没有作足够的安全考虑，则可能会引起文件包含漏洞。 攻击着会指定一个“意想不到”的文件让包含函数去执行，从而形成恶意操做。 根据不一样的配置环境，文件包含漏洞分为以下两种状况：
1.本地文件包含漏洞：仅可以对服务器本地的文件进行包含，因为服务器上的文件并非攻击者所可以控制的，所以该状况下，攻击着更多的会包含一些 固定的系统配置文件，从而读取系统敏感信息。不少时候本地文件包含漏洞会结合一些特殊的文件上传漏洞，从而造成更大的威力。
2.远程文件包含漏洞：可以经过url地址对远程的文件进行包含，这意味着攻击者能够传入任意的代码，这种状况没啥好说的，准备挂彩。 所以，在web应用系统的功能设计上尽可能不要让前端用户直接传变量给包含函数，若是非要这么作，也必定要作严格的白名单策略进行过滤。                     

一、File Inclusion（local）

 

 这个url有点东西哈

 

 猜想有文件包含漏洞，因而试一试看看

 

 放一个马在目录里面

 

 而后读取康康：

 

 成功利用马进入服务器后端

二、File Inclusion(remote)

 

 

 

 这个地方对filename传参有了include的过滤，但可能存在ssrf漏洞。

http://xx.xx.xx.xx/pikachu/vul/fileinclude/fi_remote.php?filename=https://www.cnblogs.com/p201721420021/&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2

 

 

成功跳转进我本身的博客中。

不安全的文件下载

文件下载功能在不少web系统上都会出现，通常咱们当点击下载连接，便会向后台发送一个下载请求，通常这个请求会包含一个须要下载的文件名称，后台在收到请求后 会开始执行下载代码，将该文件名对应的文件response给浏览器，从而完成下载。 若是后台在收到请求的文件名后,将其直接拼进下载文件的路径中而不对其进行安全判断的话，则可能会引起不安全的文件下载漏洞。
此时若是 攻击者提交的不是一个程序预期的的文件名，而是一个精心构造的路径(好比../../../etc/passwd),则颇有可能会直接将该指定的文件下载下来。 从而致使后台敏感信息(密码文件、源代码等)被下载。

因此，在设计文件下载功能时，若是下载的目标文件是由前端传进来的，则必定要对传进来的文件进行安全考虑。 切记：全部与前端交互的数据都是不安全的，不能掉以轻心！

                     

 

 三、unsafe filedownload

 

 

 要求是点击图片能够下载

 那仍是科比吧连接以下：

http://192.168.1.108/pikachu/vul/unsafedownload/execdownload.php?filename=kb.png

既然能够直接经过filename读取文件，那就直接构造payload:

http://192.168.1.108/pikachu/vul/unsafedownload/execdownload.php?filename=../../../shengcheng.txt

 

读取网站后台服务器上的文件成功。

 

不安全的文件上传漏洞

不安全的文件上传漏洞概述文件上传功能在web应用系统很常见，好比不少网站注册的时候须要上传头像、上传附件等等。当用户点击上传按钮后，后台会对上传的文件进行判断 好比是不是指定的类型、后缀名、大小等等，而后将其按照设计的格式进行重命名后存储在指定的目录。 若是说后台对上传的文件没有进行任何的安全判断或者判断条件不够严谨，则攻击着可能会上传一些恶意的文件，好比一句话木马，从而致使后台服务器被webshell。 因此，在设计文件上传功能时，必定要对传进来的文件进行严格的安全考虑。好比：
--验证文件类型、后缀名、大小;
--验证文件的上传方式;
--对文件进行必定复杂的重命名;
--不要暴露文件上传后的路径

四、client check

 

 

 有一个提示。

 先判断是在前端仍是后端有验证：

 

 查看该函数源码

 1 function checkFileExt(filename)
 2     {
 3         var flag = false; //状态
 4         var arr = ["jpg","png","gif"];
 5         //取出上传文件的扩展名
 6         var index = filename.lastIndexOf(".");
 7         var ext = filename.substr(index+1);
 8         //比较
 9         for(var i=0;i<arr.length;i++)
10         {
11             if(ext == arr[i])
12             {
13                 flag = true; //一旦找到合适的，当即退出循环
14                 break;
15             }
16         }
17         //条件判断
18         if(!flag)
19         {
20             alert("上传的文件不符合要求，请从新选择！");
21             location.reload(true);
22         }
23     }

那能够直接上传。

按照要求包装好一个假的gif

 

 burpsuite抓包抓到手：

 

 修改文件后缀为php

 

 能够看到已经上传成功了

 

 小马被成功上传

 

 构造payload

http://your ip/pikachu/vul/unsafeupload/uploads/shengcheng.php?x=1

 

 成功读取服务器后端数据库

五、MIME type

 

 这一次并非在前端进行验证。

 

根据要求修改后缀后上传

 

 抓包后修改包内内容后上传：

 

这里只是加了一个文件类型的判断。能够直接略过。

同理：

 

 

五、getimagesize()

 

 发现仍然没有前端的过滤，可是会断定是否为真的图片。

 （我欺骗你不就是为了完成做业的吗我容易嘛我……）

 

提示里说是对图片的大小有断定，那咱们能够尝试把木马藏在图片里上传

 

 先准备一张图片：

（小声bb：祢豆子天下第一可爱）

而后修改一下：

 

 发现上传成功了：

 

 抓包看一下：

 

 老规矩，修改后缀

 

报错了

 

 并且从以前上传成功的那一张来看，后端会从新命名你的照片，因此单纯修改文件后缀貌似是没有用的。

 

 （00截断也不行）

既然咱们已经能把含有木马的文件上传至后端，那能够利用文件包含漏洞读取木马了。

先保存路径：

 

 而后找到以前的文件包含漏洞的网页：

url修改一下：

 

 多试几回就能够了：

http://your ip/pikachu/vul/fileinclude/fi_local.php?filename=../../unsafeupload/uploads/2019/12/22/1787915dfedbd8b2786128645616.jpg&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2

 

 成功读取出后端数据库。