墨者学院-WebShell文件上传分析溯源(第2题)

靶场地址：
https://www.mozhe.cn/bug/detail/TzRsdjFSYW9HQlA2OFdGbXo0KzBUdz09bW96aGUmozhe

使用DirBuster扫描到目录/admin/upload.php
访问一下，如下图提示，然后跳转到upload2.php，嗯，感觉upload1.php很有猫腻

在burp suite拦截，查看，发现upload1.php有上传代码

回去浏览器禁用js，再次打开，发现上传页面

上传一句话木马，只告诉我上传成功，没有发现路径

折腾很久，在cookie中发现一处似乎可读源码的漏洞，uploadmd5=verify/1ac4235578259ac8.txt，value的值为1ac4235578259ac8

页面访问一下该文件，发现文件内容与value的值一致，推测是将文件内容填充到了value的值中

修改cookies，uploadmd5=upload_file.php，提交，读取到了源码，上传路径为$path.$time.'_'.$verify.'_'.$file1

重新上传并拦截，查看数据包中的值

当前日期为20190717，verify为1ac4235578259ac8，得到上传路径为uploadfile/20190717_1ac4235578259ac8_cmd.php，打开菜刀，路径为/admin/uploadfile/20190717_1ac4235578259ac8_cmd.php，找到key