实战 | 小小曲折渗透路之文件上传绕过

进入正题

无意间发现了某县一中的后台，手痒痒，想测试一下。

如果有漏洞，交到某些平台上，换些微小的积分，还是美滋滋，

毕竟我是一名正义的白帽子。

看到后台，必然用万能密码，弱口令来试一下，不行最后再上爆破！

幸运的我用弱口令 admin:admin 进去了：

（小声bb，一般这种小网站，弱口令，万能密码，一弄一个准）

进入了后台，常规思路先去找可以上传文件或图片的地方，这次也不例外

成功找到了一个可以上传图片的地方：

仔细观察，是kindeditor4.1.5编辑器，但只允许上传图片，

废话不多说，先上传图片后缀图片.gif，

用Burp抓包，再改包试试：

抓到了数据包。我们把gif 改成 php看看能不能通过：

失败，放平心态，再试一试 x.php;.jpg 看能否绕过：

我们Forward一下看看：

最后还是失败了，虽然上传成功，但上传上去的还是一张图片，

重整旗鼓，我们在试试能不能用00截断 来突破：

还是失败，他还是以图片格式上传了。

暂时先放弃，换个思路，毕竟渗透道路千万条！

按照正常对一个网站的测试思路，首先要信息收集一下

子域名，旁站，敏感目录，端口 这些关键地方。

随即，我拿御剑扫了一扫，扫出了下面目录，挨个打开，还真是有奇异的发现：

打开，/2/路径，发现是某县一中的主页，

仔细看看，这是旁站，共用一个服务器呀，

小小提示：

一般旁站有可能在某路径下，或者某端口下，再或者是其他某域名。

前面的失败，并不能湮灭我身为正义白帽子挖洞的热情呀，

接着尝试找找漏洞，

这种网站打眼一看，

SQL注入，XSS说不定就存在，

先尝试找SQL注入，必然要先找个注入点，与数据库交互的地方。

先乱点点网页，大致浏览下这个网站，

最后使用google语法，找到了一个与数据的交互点：

site:www.xxx.com inurl: php?id=

既然存在注入点了，还是Mysql数据库，

那就大喊一声：Sqlmap大法好，

拿着Sqlmap就是一通跑，

哈哈，果然不出我所料，确实存在一个Get方式注入~

最后我用胡萝卜把他管理员账号密码注入出来了，

用Sqlmap太慢了，只好用胡萝卜咯！

拿到管理员账号密码后，我用爬行工具找到了它的后台：

费尽心思的进去了后台，找到了一个上传模板的地方：

我先试一试 1.php能不能上传：

啊噢，还是失败，在前面简单信息收集时，知道了目标主机为

Windows server 2003，这时候我想到了一个新的上传突破的方法：

用::$DATA 来突破：

::$DATA

在windows里面，是会被删除掉的。

上传1.php::$DATA

在Win下如果识别到::$DATA ，根据Windows特性会将其删除掉，

最后只剩1.php 了，

这不就是咱想要的效果嘛！

现在可以看到我们的脚本木马已经上传了进去

根据右边人性的回显，我找到了它的地址：

成功解析~~~

我们用菜刀链接试试看：

就这么成功了。绕来绕去，就是如何绕过文件上传的限制，

看来这次是我小小的胜利了。

最后，推荐给大家一个练习文件上传的靶机 ---Upload-labs :

Upload-labs是一个帮你总结所有类型的上传漏洞的靶场，包括常见的文件上传漏洞

项目地址：

https://github.com/c0ny1/upload-labs