该篇文章来自 掣雷小组:Mix ●●●●
进入正题
无意间发现了某县一中的后台,手痒痒,想测试一下。
如果有漏洞,交到某些平台上,换些微小的积分,还是美滋滋,
毕竟我是一名正义的白帽子。
看到后台,必然用万能密码,弱口令来试一下,不行最后再上爆破!
幸运的我用弱口令 admin:admin 进去了:
(小声bb,一般这种小网站,弱口令,万能密码,一弄一个准)
进入了后台,常规思路先去找可以上传文件或图片的地方,这次也不例外
成功找到了一个可以上传图片的地方:
仔细观察,是kindeditor4.1.5编辑器,但只允许上传图片,
废话不多说,先上传图片后缀图片.gif,
用Burp抓包,再改包试试:
抓到了数据包。我们把gif 改成 php看看能不能通过:
失败,放平心态,再试一试 x.php;.jpg 看能否绕过:
我们Forward一下看看:
最后还是失败了,虽然上传成功,但上传上去的还是一张图片,
重整旗鼓,我们在试试能不能用00截断 来突破:
还是失败,他还是以图片格式上传了。
暂时先放弃,换个思路,毕竟渗透道路千万条!
按照正常对一个网站的测试思路,首先要信息收集一下
子域名,旁站,敏感目录,端口 这些关键地方。
随即,我拿御剑扫了一扫,扫出了下面目录,挨个打开,还真是有奇异的发现:
打开,/2/路径,发现是某县一中的主页,
仔细看看,这是旁站,共用一个服务器呀,
小小提示:
一般旁站有可能在某路径下,或者某端口下,再或者是其他某域名。
前面的失败,并不能湮灭我身为正义白帽子挖洞的热情呀,
接着尝试找找漏洞,
这种网站打眼一看,
SQL注入,XSS说不定就存在,
先尝试找SQL注入,必然要先找个注入点,与数据库交互的地方。
先乱点点网页,大致浏览下这个网站,
最后使用google语法,找到了一个与数据的交互点:
site:www.xxx.com inurl: php?id=
既然存在注入点了,还是Mysql数据库,
那就大喊一声:Sqlmap大法好,
拿着Sqlmap就是一通跑,
哈哈,果然不出我所料,确实存在一个Get方式注入~
最后我用胡萝卜把他管理员账号密码注入出来了,
用Sqlmap太慢了,只好用胡萝卜咯!
拿到管理员账号密码后,我用爬行工具找到了它的后台:
费尽心思的进去了后台,找到了一个上传模板的地方:
我先试一试 1.php能不能上传:
啊噢,还是失败,在前面简单信息收集时,知道了目标主机为
Windows server 2003,这时候我想到了一个新的上传突破的方法:
用::$DATA 来突破:
::$DATA
在windows里面,是会被删除掉的。
上传1.php::$DATA
在Win下如果识别到::$DATA ,根据Windows特性会将其删除掉,
最后只剩1.php 了,
这不就是咱想要的效果嘛!
现在可以看到我们的脚本木马已经上传了进去
根据右边人性的回显,我找到了它的地址:
成功解析~~~
我们用菜刀链接试试看:
就这么成功了。绕来绕去,就是如何绕过文件上传的限制,
看来这次是我小小的胜利了。
最后,推荐给大家一个练习文件上传的靶机 ---Upload-labs :
Upload-labs是一个帮你总结所有类型的上传漏洞的靶场,包括常见的文件上传漏洞