墨者学院-WebShell文件上传分析溯源(第2题)-writeup

2019年3月21日12:12:41 评论 15,639

首先用御剑扫描目录得到上传目录 /admin/upload1.php /admin/upload2.php

扫出来这么些,大概也够了,打开命名是upload1的php文件,不过中间可以看到有个上传页面一闪而过。看来有跳转,用burp拦截一下,点击了确定之后就会跳到真正的上传页面,burp拦截到的内容如下:

我已经上传了php一句话木马,但是属实找不到上传到了哪里,最后根据提示,在cookie中找到了漏洞,当cookie中uploadmd5这个字段中如果有文件名,就会返回过来存在文件的内容,那么这样的话就可以看到了上传页面的源码,源码中肯定就有保存的位置:

用浏览器重新发起请求,字段的值改为upload_file.php,返回过来了上传页面的源码:

发现了是加上了几个变量的文件路径,

file2=$path.time.'_'.$verify.’_’.$file1;

在上传时记住verify的值

file=上传时间_verify_file 组合上面记下的值,得到上传路径

接下来就构造一下URL:
http://ip/admin/uploadfile/20190227_60b257bc2ef99763_ma.php
到此已经大功告成,用菜刀连上直接就可以拿到key

高性能云服务器2折起

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: