题目2 文件上传(保姆级教程)【文末有惊喜】

url:http://192.168.154.253:82/  #打开http://XXX:81/,XXX为靶机的ip地址

审题

1、打开题目看到有一个提示,此题目需要绕过WAF过滤规则,上传木马获取webshell,最后从根目录下key.php文件中获得flag

题目2 文件上传(保姆级教程)【文末有惊喜】_第1张图片

2、开始答题

第一步:判断过滤规则

1、上传正常的图片(.jpg格式)

题目2 文件上传(保姆级教程)【文末有惊喜】_第2张图片

题目2 文件上传(保姆级教程)【文末有惊喜】_第3张图片

题目2 文件上传(保姆级教程)【文末有惊喜】_第4张图片

2、盲猜是做了黑名单或者是白名单的校验,尝试制作上传图片木马进行过滤绕过

准备工作:

  • 1个正常上传的图片
  • 1个一句话木马(php)

执行命令:

copy 1.jpg/b+1.php YiJuHua.jpg/b

题目2 文件上传(保姆级教程)【文末有惊喜】_第5张图片

上传图片木马

题目2 文件上传(保姆级教程)【文末有惊喜】_第6张图片

上传成功

3、连接图片木马

—— 这里测试连接不成功,是由于WAF不止对文件后缀做了校验,还对文件内容进行了校验

题目2 文件上传(保姆级教程)【文末有惊喜】_第7张图片

4、猜测是WAF进行了数据包内容校验,使用burp抓包,修改数据包(注意,需要burp截断更改数据包内容

修改文件后缀:php3、php5、pht等

修改文件格式:

GIF89a

关键字大小写绕过过滤:

Eval($_POST['shell']);?>

解释:

  • 通常,在嵌入了php脚本的html中,使用 phtml作为后缀名;完全是php写的,则使用php作为后缀名。这两种文件,web服务器都会用php解释器进行解析。
  • 当不能使用php代码直接注入时可以改为phtml格式加入GIF89a(图片头文件欺骗),后台认为是图片,上传后再执行木马。
  • 先将文件改为.jpg欺骗网址第一层,抓包将filename改为以.php5结尾进行文件后缀校验绕过,GIF89a则负责骗过文件头部校验第二层,最后修改evalEval,进行大写绕过关键字过滤第三层防护。

题目2 文件上传(保姆级教程)【文末有惊喜】_第8张图片

上传成功:http://192.168.154.253:82/vulnerabilities/YiJuHua.php5

题目2 文件上传(保姆级教程)【文末有惊喜】_第9张图片

5、连接后门地址

题目2 文件上传(保姆级教程)【文末有惊喜】_第10张图片

6、获得flag

题目2 文件上传(保姆级教程)【文末有惊喜】_第11张图片

 猎杀时刻

        目前在GG安全公众号中回复关键字"wps0day",即可获得wps打包套件及poc。

        为了方便师傅们的交流学习,根据广大师傅们的建议,我在之后也会创建一个的群聊。预计在内部群内,我们将分享一些脱敏的漏洞报告和渗透测试实战案例,还将会有一些经验丰富的大牛和巨佬分享他们的经验。后续还将提供一些福利,例如送书和小礼物等等。欢迎师傅们到时候加入群聊,一起交流学习,致力打造一个有丰富学习氛围的小圈子。

你可能感兴趣的:(#,CISP-PTE-Centos,cisp-pte,cisp,靶机,文件上传漏洞,web安全)