wzsc_文件上传(条件竞争)

打开题目链接,很常见的文件上传框

wzsc_文件上传(条件竞争)_第1张图片

经过尝试,发现上传东西后会调用upload.php,猜测文件被传到upload目录下

wzsc_文件上传(条件竞争)_第2张图片随便传了几个类型的文件,访问upload目录

发现.php文件以及.htaccess、.user.ini这种配置文件都没有传上去

wzsc_文件上传(条件竞争)_第3张图片

但是通过抓包我们可以发现,其实php文件以及配置文件都是上传成功了的(响应200)

wzsc_文件上传(条件竞争)_第4张图片

wzsc_文件上传(条件竞争)_第5张图片说明文件上传成功,但是服务器在短时间内就立刻将其删掉了

这种情况只能采取条件竞争

条件竞争原理:当我们成功上传了php文件,服务端会在短时间内将其删除,我们需要抢在它删除之前访问文件并生成一句话木马文件,所以访问包的线程需要大于上传包的线程。

这里我们先写一个用于上传的php文件(我这里命名为m.php),内容如下:

'); ?>

我们可以使用多线程并发的访问上传的文件,总会有一次在上传文件到删除文件这个时间段内访问到上传的php文件(m.php),一旦我们成功访问到了上传的文件(m.php),那么它就会向服务器写一个shell(shell.php)。

换句话说,我们最终利用的并不是我们上传的文件,上传只是为了能有一刻成功访问,一旦访问成功,便会写入一句话木马,我们最终利用的就是新写入的php文件。

上传m.php,利用burpsuite抓包(这个是上传包)

wzsc_文件上传(条件竞争)_第6张图片

设置上传包的线程数(这里设置为30)

wzsc_文件上传(条件竞争)_第7张图片

设置攻击载荷,选择没有负载,并且勾上无限期地重复

wzsc_文件上传(条件竞争)_第8张图片

这里注意一个小细节:

如果没有清除有效负载的位置

wzsc_文件上传(条件竞争)_第9张图片

开始攻击后的请求包中filename为空

wzsc_文件上传(条件竞争)_第10张图片

清除之后,再开始攻击

wzsc_文件上传(条件竞争)_第11张图片

filename=m.php(即我们上传的文件)

wzsc_文件上传(条件竞争)_第12张图片

接下来我们抓访问包:

我们直接尝试访问shell.php,使用burpsuite进行抓包

wzsc_文件上传(条件竞争)_第13张图片

wzsc_文件上传(条件竞争)_第14张图片同理设置线程数(这里设置为80)

注意:访问包的线程数一定要大于上传包的线程数

wzsc_文件上传(条件竞争)_第15张图片

设置攻击载荷,选择没有负载,并且勾上无限期地重复

wzsc_文件上传(条件竞争)_第16张图片

设置好之后开始攻击

最开始可能访问包都是404或者500

但是过一会儿你再次筛选状态码,你就会看到200的响应

这说明条件竞争成功,已经成功向服务器写入了shell.php

wzsc_文件上传(条件竞争)_第17张图片

我们访问upload目录查看,确实已经存在shell.php

wzsc_文件上传(条件竞争)_第18张图片

接下来使用蚁剑连接即可

在html目录下找到flag.php

wzsc_文件上传(条件竞争)_第19张图片

wzsc_文件上传(条件竞争)_第20张图片

cyberpeace{b2ccdb64cfd4c8f30450d306dab8da1c}

你可能感兴趣的:(web,文件上传,条件竞争,web,burpsuite,一句话木马)