靶场地址:https://www.mozhe.cn/bug/detail/Umc0Sm5NMnkzbHM0cFl2UlVRenA1UT09bW96aGUmozhe
1.txt
,返回上传成功以及文件路径,且url变为upload.asp
,判断为ASP上传点。asp
,再次上传发现被拦截IIS6.0
。此版本存在目录解析漏洞:即***.asa/*.asp
**文件夹内的文件会被当作**asp
**文件来解析1.txt
并使用Burp拦截,将文件夹路径修改abc.asp
,点击发包wwwroot
目录得到KEY文件,打开得到KEY
靶场地址:https://www.mozhe.cn/bug/detail/UjV1cnhrbUxVdmw5VitBdmRyemNDZz09bW96aGUmozhe
1.php
,发现无法上传;.php5
再次上传,此时上传成功;/var/www/html/
目录下找到key.php
,打开得到key靶场地址:https://www.mozhe.cn/bug/detail/TzRsdjFSYW9HQlA2OFdGbXo0KzBUdz09bW96aGUmozhe
/admin/upload1.php
和/admin/upload2.php
http://url/admin/upload1.php
,页面提示无权限并跳转到upload2.php
upload1.php
,在弹框提示时不放包,直接点击确定,发现页面出现一个上传点。此处可能由于浏览器原因,一开始使用Chrome浏览器,点击确定后并没有出现上传点,而换成火狐浏览器则出现该上传点。
upload2.php
的包放掉,再将上传文件所抓的包发送到重发器Repeater
中
upload1.php
时,使用Burp抓包并将添加Cookie: uploadmd5=upload_file.php
,可以查看upload_file.php
这个文件的源码
$path="uploadfile/";//上传路径
$verify=$_POST["verify"];
$time=date("Ymd");
if($_FILES["filename"]["name"]) {
$file1=$_FILES["filename"]["name"];
$file2 = $path.$time.'_'.$verify.'_'.$file1; // 此处为上传后的文件路径
$flag=1;
}
if($flag) $result=move_uploaded_file($_FILES["filename"]["tmp_name"],$file2);
if($result) echo "上传成功!";
shell.php
,且verify
为空,当前年月日为20200405
,即拼接后文件路径为:uploadfile/20200405__shell.php
。注意这里是两个下划线_
http://url/admin/uploadfile/20200405__shell.php
,得到key靶场地址:https://www.mozhe.cn/bug/detail/NXNRQnJGa1g1U3lmUTNxMEQ3TUFnUT09bW96aGUmozhe
jpg
并上传,通过Burp抓包后将木马文件后缀修改为php
并放行/var/www/html
目录下找到key.php
,打开得到key靶场地址:https://www.mozhe.cn/bug/detail/MGt2VGdsK093TkdtcURBSXFySnZpUT09bW96aGUmozhe
1.php
,提示不允许上传2.jpg
,成功上传,但是无法连接2.jpg
,使用Burp抓包并将文件后缀修改为php
,使用菜刀成功连接得到key靶场地址:https://www.mozhe.cn/bug/detail/aVJuL2J4YVhUQkVxZi9xMkFRbDYyQT09bW96aGUmozhe
Content-Type
和MIME
,于是尝试使用Burp抓包,上传PHP文件并修改Content-Type
为image/jpeg
,上传成功/var/www/html/
目录可得到key
靶场地址:https://www.mozhe.cn/bug/detail/OGp3KzRZUFpnVUNUZm9xcjJlN1V4dz09bW96aGUmozhe
admin/admin
登录asp
一句话木马后缀修改为.jpg
,然后点击左侧添加文章,在图片上传处将该木马图片上传。成功上传后得到图片路径/uploads/20200405143257347.jpg
shell.asp
,点击备份数据
c:\inetpub\wwwroot\admin\Databackup\shell.asp
http://url/admin/Databackup/shell.asp
,并在C:/inetpub/
目录下的key.txt
中得到key版权属于:Naraku
本文链接:https://cloud.tencent.com/developer/article/1853385
本站所有原创文章均采用 知识共享署名-非商业-禁止演绎4.0国际许可证 。如需转载请务必注明出处并保留原文链接,谢谢~