墨者 - WebShell文件上传分析溯源(第2题)

 用御剑扫描出后台地址

墨者 - WebShell文件上传分析溯源(第2题)_第1张图片

一个一个地址去访问,内容是空白的,访问upload1提示无权限而且会跳转到upload2

后来用bp抓包,再访问upload1.php

发现再跳转upload2之前有个表单页面

墨者 - WebShell文件上传分析溯源(第2题)_第2张图片 

然后一句话木马,上传a.php文件

墨者 - WebShell文件上传分析溯源(第2题)_第3张图片

 

墨者 - WebShell文件上传分析溯源(第2题)_第4张图片

上传了,心中狂喜,以为成功

然后突然发现找不到上传文件的位置,

有试过直接ip/admin/upload_file.php 密码为a,不行........

卡住了很久,后来上网百度相关的解题思路,发现在访问/admin/upload1页面的时候,bp抓包

uploadmd5 的值可以改为upload_file.php,以查看upload_file的代码内容(我一直想不通别人是怎么发现这个注入点的,有人说是题目提示cookie,cookie里面的值是直接从verify里面拿到txt文件,所以试一下将upload_file.php文件替换txt)

 然后将uploadmd5  = upload_file.php

墨者 - WebShell文件上传分析溯源(第2题)_第5张图片

 得出源码,这里解释一下源码

 最关键的一句

$path.$time.'_'.$verify.'_'.$file1

 拼接文件路径名称,$path为uploadfile上传路径  ,time为年月日的时间,verify的值为从前端form表单里面获取的,file1为保存   的文件在上传者机器上的文件名

最后为类似这样的格式:uploadfile/20190711_a8eb60c80bca0d9b_a.php

 最后上传的路径也了然了,现在可以上菜刀无惧链接了 

 这里有个坑,就是有时候bp抓包多次verify都获取不了值

 墨者 - WebShell文件上传分析溯源(第2题)_第6张图片

看了别人的解题思路都是verify有值的,抓了几次都出不来

最后一气之下直接改为:uploadfile/20190711__a.php ,密码为a。(verify当空值处理)

墨者 - WebShell文件上传分析溯源(第2题)_第7张图片

链接成功....真香

墨者 - WebShell文件上传分析溯源(第2题)_第8张图片

你可能感兴趣的:(墨者刷题笔记)