墨者学院-WebShell文件上传分析溯源(第2题)-writeup

首先用御剑扫描目录得到上传目录 /admin/upload1.php /admin/upload2.php

扫出来这么些，大概也够了，打开命名是upload1的php文件，不过中间可以看到有个上传页面一闪而过。看来有跳转，用burp拦截一下，点击了确定之后就会跳到真正的上传页面，burp拦截到的内容如下：

我已经上传了php一句话木马，但是属实找不到上传到了哪里，最后根据提示，在cookie中找到了漏洞，当cookie中uploadmd5这个字段中如果有文件名，就会返回过来存在文件的内容，那么这样的话就可以看到了上传页面的源码，源码中肯定就有保存的位置：

用浏览器重新发起请求，字段的值改为upload_file.php，返回过来了上传页面的源码：

发现了是加上了几个变量的文件路径，

file2=$path.time.'_'.$verify.’_’.$file1;

在上传时记住verify的值

file=上传时间_verify_file 组合上面记下的值，得到上传路径

接下来就构造一下URL：

http://ip/admin/uploadfile/20190227_60b257bc2ef99763_ma.php

到此已经大功告成，用菜刀连上直接就可以拿到key