墨者学院-WebShell文件上传分析溯源(第2题)-writeup

枫少@KillBoy 分析溯源评论51,4399字数 524阅读1分44秒阅读模式

首先用御剑扫描目录得到上传目录 /admin/upload1.php /admin/upload2.php

墨者学院-WebShell文件上传分析溯源(第2题)-writeup

扫出来这么些,大概也够了,打开命名是upload1的php文件,不过中间可以看到有个上传页面一闪而过。看来有跳转,用burp拦截一下,点击了确定之后就会跳到真正的上传页面,burp拦截到的内容如下:

墨者学院-WebShell文件上传分析溯源(第2题)-writeup

我已经上传了php一句话木马,但是属实找不到上传到了哪里,最后根据提示,在cookie中找到了漏洞,当cookie中uploadmd5这个字段中如果有文件名,就会返回过来存在文件的内容,那么这样的话就可以看到了上传页面的源码,源码中肯定就有保存的位置:

墨者学院-WebShell文件上传分析溯源(第2题)-writeup

用浏览器重新发起请求,字段的值改为upload_file.php,返回过来了上传页面的源码:

墨者学院-WebShell文件上传分析溯源(第2题)-writeup

发现了是加上了几个变量的文件路径,

file2=$path.time.'_'.$verify.’_’.$file1;

在上传时记住verify的值

file=上传时间_verify_file 组合上面记下的值,得到上传路径

接下来就构造一下URL:

http://ip/admin/uploadfile/20190227_60b257bc2ef99763_ma.php

到此已经大功告成,用菜刀连上直接就可以拿到key

免责声明:本站某些文章、信息、图片、软件等来源于互联网,由本网整理发表,希望传递更多信息和学习之目的,并不意味赞同起观点或证实其内容的真实性以及非法用途。 如设计、版权等问题,请立即联系管理员,我们会给予更改或删除相关文章,保证您的权利。
高性能云服务器2折起
 
枫少@KillBoy
匿名

发表评论

匿名网友

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: