墨者 - WebShell文件上传分析溯源(第2题)

 用御剑扫描出后台地址

一个一个地址去访问，内容是空白的，访问upload1提示无权限而且会跳转到upload2

后来用bp抓包，再访问upload1.php

发现再跳转upload2之前有个表单页面

 

然后一句话木马，上传a.php文件

 

上传了，心中狂喜，以为成功

然后突然发现找不到上传文件的位置，

有试过直接ip/admin/upload_file.php 密码为a，不行........

卡住了很久，后来上网百度相关的解题思路，发现在访问/admin/upload1页面的时候，bp抓包

uploadmd5 的值可以改为upload_file.php，以查看upload_file的代码内容（我一直想不通别人是怎么发现这个注入点的，有人说是题目提示cookie，cookie里面的值是直接从verify里面拿到txt文件，所以试一下将upload_file.php文件替换txt）

 然后将uploadmd5  = upload_file.php

 得出源码，这里解释一下源码

 最关键的一句

$path.$time.'_'.$verify.'_'.$file1

 拼接文件路径名称，$path为uploadfile上传路径  ，time为年月日的时间，verify的值为从前端form表单里面获取的，file1为保存   的文件在上传者机器上的文件名

最后为类似这样的格式：uploadfile/20190711_a8eb60c80bca0d9b_a.php

 最后上传的路径也了然了，现在可以上菜刀无惧链接了 

 这里有个坑，就是有时候bp抓包多次verify都获取不了值

 

看了别人的解题思路都是verify有值的，抓了几次都出不来

最后一气之下直接改为：uploadfile/20190711__a.php ，密码为a。（verify当空值处理）

链接成功....真香