Seguimos con más entradas sobre la máquina DVWA, en este caso vamos a por el nivel medio de file upload. Entramos directamente en el medio, ya que el bajo es demasiado fácil.
Se trata, básicamente, de subir un archivo .php a la web, pero el filtro solo nos deja subir imágenes PNG o JPEG y nuestra tarea es saltarse ese filtrado.
Veamos como se comporta la web al intentar subirle un fichero ".php" directamente.
Como decía no nos lo permite, nos indica que solo acepta JPEG o PNG. Vamos a ver como solucionarlo.
Vamos a la ruta donde tengamos el archivo ".php" y le cambiamos la extensión por ".png".
Ahora vamos al frontal del DVWA y volvemos a cargar la imagen, solo cargarla, sin dar al botón de "upload".
Ahora debemos instalar el plugin "tamper data" para firefox. Una vez que lo tenemos instalado, vamos a herramientas -> tamper data y nos abrirá una nueva ventana con dicha herramienta.
La forma de proceder es la siguiente. En la ventana de "tamper data" le damos al botón de "comenzar modificación" y acto seguido damos al botón de "upload" en el frontal de DVWA
Esto nos abrirá una nueva ventana con los valores a modificar. Para este ejemplo nos interesa el cuadro "POST_DATA" de la derecha, que es el valor que modificaremos.
Lo que yo hago, es copiar el contenido en un fichero (en wordpad, notepad, notepad++, vim, nano etc) para poder ver correctamente el contenido y modificarlo.
Ya por ultimo comprobamos que realmente el fichero se ha subido y que está ahí. Para ello, solo debemos copiar "hackable/uploads/phpInfo.php" en la barra de las URLs y vemos el resultado.
En este caso hemos subido un fichero que no afecta a la web, pero imaginad la de cosas que podemos subir para jugar. Eso si, en un entorno controlado.
Este proceso se puede realizar de igual manera con Burp, pero no siempre podremos tenerlo a mano y, siempre viene bien conocer otras herramientas para realizar la misma tarea.
Roberto García (@1GbDeInfo)
