春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)

文章目录

  • 前言
  • 一、CVE-2022-25578靶场概述
  • 二、CVE-2022-25578复现需要知道的知识点
    • 1、什么是htaccess文件
    • 2、上传htaccess文件的条件是什么?
    • 3、htaccess文件的作用是什么?
  • 三、CVE-2022-32991漏洞复现
    • 1、信息收集
    • 2、找上传点
    • 3、上传后蚁剑连接getshell
  • 总结


前言

此文章只用于学习和反思巩固文件上传漏洞知识,禁止用于做非法攻击。注意靶场是可以练习的平台,不能随意去尚未授权的网站做渗透测试!!!


一、CVE-2022-25578靶场概述

Taocms v3.0.2 允许攻击者通过任意编辑 .htaccess 文件来执行代码注入。
靶场地址在春秋云境官网https://yunjing.ichunqiu.com/
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第1张图片

二、CVE-2022-25578复现需要知道的知识点

  • 1、什么是htaccess文件?
  • 2、上传htaccess文件的条件是什么?
  • 3、htaccess文件的作用是什么?

1、什么是htaccess文件

htaccess文件(或者分布式配置文件),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法,
即,在一个特定的文档目录中放置一个包含一个或多个指令的文件,
以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。

2、上传htaccess文件的条件是什么?

  • 1、首先要有上传文件的地方,而且没有过滤后缀名htaccess
  • 2、而且对方apache服务器得开启htaccess文件,需要在httpd.conf文件配置。
  • 3、并且还要有特定的环境

3、htaccess文件的作用是什么?

htaccess文件简单来说是会把此目录及其所有子目录的所有文件当作php代码执行。(这是取决于htaccess文件内容是什么,这里我只是举了其中一个情况,不过这种情况伤文件,可能把正常文件也当作php文件,导致网站奔溃也是有可能的)


三、CVE-2022-32991漏洞复现

  • 1、信息收集
  • 2、找上传点
  • 3、上传后蚁剑连接getshell

1、信息收集

打开网站,发现什么都没有搜刮一波发现没有文件上传点
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第2张图片
但是我们知道这是一个taocms后台管理系统,我们上网搜一下taocms之前有没有报过漏洞,找一找taocms有没有后台登录地址,如果没办法就要想办法登录后台管理系统。
这里网上搜了一下搜到了后台默认账号密码,以及后台地址常用是/admin下。(如图所示)
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第3张图片

我们实在不行也可以利用御剑找一找有没有其他隐藏路径的网站,找到了admin路径,点开发现就是后台网站。(如图所示)
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第4张图片
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第5张图片
我们试一试默认账号密码能不能登陆,如果不行还得用bp弱口令爆破密码
发现默认密码登录成功
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第6张图片

2、找上传点

现在就找有没有上传的地方了,经过查找发现添加文章可以上传图片,
还有文件管理好像也能上传文件。但是发现点新建文件页面是空白,貌似不太行。但是发现文件管理有htaccess文件我们可以修改它为可以把png图片识别为php代码执行。这里我修改是把png文件当php代码解析。(如图所示)
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第7张图片
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第8张图片

这里我保存htaccess文件,建议不要用这个代码,可能会把当前目录下的正常文件搞坏,然后后台网站会异常。(如图所示)
在这里插入图片描述
接下来就是制作图片马了
这里我演示window情况
先搞一个正常图片,这里我搞一张shell.png图片,然后在搞一个1.php文件上面写上一句话木马(如图所示)
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第9张图片
然后打开cmd
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第10张图片
然后就发现桌面多了一个一模一样的图片,其实图片里面有木马了。(这里我生成到桌面了,好操作)
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第11张图片
因为刚刚说到在文件管理貌似新建不了文件,那我们去添加文章那上传文件吧春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第12张图片
上传图片马
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第13张图片
文章成功添加,然后点编辑文章看到刚刚上传的图片马的保存的绝对路径
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第14张图片

3、上传后蚁剑连接getshell

现在连接蚁剑
这里我们先访问一遍图片马地址
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第15张图片
乱码是正常的,因为当作php解析了,我们复制图片马网址然后去蚁剑连接春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第16张图片
由于我写的一句话木马post参数是shell,自然连接密码也就是shell了
这里记得勾选base64编码
春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第17张图片

春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)_第18张图片
找到flag文件,拿到flag

总结

这一关是利用htaccess文件进行任意文件上传,条件非常严格,得要特定环境。这个漏洞恰好htaccess文件可以编辑,而且其文件也和picture文件同一个目录下,导致我们可以利用htaccess文件上传webshell去getshell了。此文章是小白自己为了巩固文件上传漏洞而写的,大佬路过请多指教!

你可能感兴趣的:(web安全,文件上传漏洞)