Pages

Ads 468x60px

jueves, 28 de julio de 2016

Hacking desde 0. Hoy, file upload (medio)


Seguimos con más entradas sobre la máquina DVWA, en este caso vamos a por el nivel medio de file upload. Entramos directamente en el medio, ya que el bajo es demasiado fácil.

Se trata, básicamente, de subir un archivo .php a la web, pero el filtro solo nos deja subir imágenes PNG o JPEG y nuestra tarea es saltarse ese filtrado.

Veamos como se comporta la web al intentar subirle un fichero ".php" directamente.




Como decía no nos lo permite, nos indica que solo acepta JPEG o PNG. Vamos a ver como solucionarlo.

Vamos a la ruta donde tengamos el archivo ".php" y le cambiamos la extensión por ".png".



Ahora vamos al frontal del DVWA y volvemos a cargar la imagen, solo cargarla, sin dar al botón de "upload". 



Ahora debemos instalar el plugin "tamper data" para firefox. Una vez que lo tenemos instalado, vamos a herramientas -> tamper data y nos abrirá una nueva ventana con dicha herramienta.

La forma de proceder es la siguiente. En la ventana de "tamper data" le damos al botón de "comenzar modificación" y acto seguido damos al botón de "upload" en el frontal de DVWA




Esto nos abrirá una nueva ventana con los valores a modificar. Para este ejemplo nos interesa el cuadro "POST_DATA" de la derecha, que es el valor que modificaremos.

Lo que yo hago, es copiar el contenido en un fichero (en wordpad, notepad, notepad++, vim, nano etc) para poder ver correctamente el contenido y modificarlo.



En las imágenes anteriores lo único que se hace es cambiar el valor de <filename="phpInfo.png"> por <filename="phpInfo.php">. Es decir, se cambia la extensión del fichero que queremos subir. Ese cambio lo volvemos a pegar en el cuadro de "POST_DATA", le damos a aceptar y paramos la modificación. En ese mismo momento, si nos fijamos en el frontal, veremos lo siguiente.



Ya por ultimo comprobamos que realmente el fichero se ha subido y que está ahí. Para ello, solo debemos copiar "hackable/uploads/phpInfo.php" en la barra de las URLs y vemos el resultado.



En este caso hemos subido un fichero que no afecta a la web, pero imaginad la de cosas que podemos subir para jugar. Eso si, en un entorno controlado.


Este proceso se puede realizar de igual manera con Burp, pero no siempre podremos tenerlo a mano y, siempre viene bien conocer otras herramientas para realizar la misma tarea.


Roberto García (@1GbDeInfo)
Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates