墨者学院-WebShell文件上传分析溯源(第2题)-writeup

2019年3月21日 12:12:41枫少@KillBoy

枫少@KillBoy

管理员

关注

219
文章

0
粉丝

分析溯源3554,5349字数 319阅读1分3秒阅读模式

AI智能摘要

你是否曾为找不到WebShell上传后的路径而束手无策？本文带你复盘一次真实的渗透测试实战：通过御剑扫描发现上传入口，利用Burp拦截跳转，巧妙从Cookie中提取关键线索。当常规思路失效时，如何通过源码泄露定位文件存储规则？文章详细揭示了基于时间戳、verify值和文件名组合生成路径的上传机制，并演示了精准构造URL、成功连接菜刀获取flag的完整溯源过程，是提升实战能力的绝佳案例。

— AI 生成的文章内容摘要

首先用御剑扫描目录得到上传目录 /admin/upload1.php /admin/upload2.php

扫出来这么些，大概也够了，打开命名是upload1的php文件，不过中间可以看到有个上传页面一闪而过。看来有跳转，用burp拦截一下，点击了确定之后就会跳到真正的上传页面，burp拦截到的内容如下：

我已经上传了php一句话木马，但是属实找不到上传到了哪里，最后根据提示，在cookie中找到了漏洞，当cookie中uploadmd5这个字段中如果有文件名，就会返回过来存在文件的内容，那么这样的话就可以看到了上传页面的源码，源码中肯定就有保存的位置：

用浏览器重新发起请求，字段的值改为upload_file.php，返回过来了上传页面的源码：

发现了是加上了几个变量的文件路径，

file2=$path.time.'_'.$verify.’_’.$file1;

在上传时记住verify的值

file=上传时间_verify_file 组合上面记下的值，得到上传路径

接下来就构造一下URL：

http://ip/admin/uploadfile/20190227_60b257bc2ef99763_ma.php

到此已经大功告成，用菜刀连上直接就可以拿到key

血月独行客 0
2026年1月17日 11:11:44 日本 1F
回复

这种跳转拦截用burp确实方便，但新手容易卡在第一步
瓦匠泥丸 0
2026年1月17日 22:39:46 河北省廊坊市 2F
回复

之前搞渗透测试也卡在过找上传路径这一步，太真实了😭
血月栖魂 0
2026年1月18日 15:21:51 山东省青岛市 3F
回复

verify的值是咋记住的？浏览器刷新不就没了？
Ocean深蓝 1
2026年1月18日 19:44:00 江苏省连云港市 4F
回复

直接用菜刀连，这么直接的吗？
奶糖小兔 0
2026年1月18日 20:11:51 新疆喀什地区 5F
回复

图片里那个g123456.php就是传上去的shell吧？
冷酷月光 0
2026年1月18日 23:48:09 北京市 6F
回复

路径是时间加verify再加文件名，这命名规则有点东西
平行交点 1
2026年1月19日 00:21:50 日本 7F
回复

感觉步骤有点跳，对于完全没基础的人来说可能跟不上
长亭旧雪 0
2026年1月19日 11:36:59 浙江省嘉兴市 8F
回复

所以关键就是cookie里藏了源码？这漏洞挺隐蔽
寒潭梦 0
2026年1月19日 13:39:12 广东省广州市 9F
回复

搞定了？这就拿到key了？牛啊666
命运暗礁 0
2026年1月19日 14:35:54 江苏省南京市 10F
回复

看了半天，还是没懂怎么定位到那个cookie字段的🤔
零点引擎 0
2026年1月19日 18:22:28 黑龙江省哈尔滨市 11F
回复

这操作够骚的，cookie藏源码这招我咋就没想到呢。
风卷云 1
2026年1月19日 21:14:33 北京市丰台区 12F
回复

verify值是不是在burp拦截的响应里能看到啊？
恐惧的影 0
2026年1月20日 09:28:17 浙江省 13F
回复

路径组合那一步有点绕，得对着看几遍才明白。
社交隐身者 0
2026年1月20日 09:39:09 韩国 14F
回复

直接用菜刀连可还行，够粗暴的😂
电饭煲成精 1
2026年1月20日 14:42:30 韩国 15F
回复

除了御剑和burp，还有啥其他工具推荐不？新手求带。
阳光下的橘子 0
2026年1月21日 00:17:22 广东省广州市 16F
回复

图片里那些状态码200的，是不是表示上传成功了？
幽魂战士 1
2026年1月22日 00:41:54 马来西亚 17F
回复

感觉这个writeup写得挺干的，没废话。
社牛本尊 0
2026年1月22日 00:48:39 福建省福州市 18F
回复

之前也碰到过类似的跳转，死活找不到上传点，原来是拦截的问题。
Baker Brynn 0
2026年1月22日 12:45:53 广西 19F
回复

所以uploadmd5这个字段名，是咋猜出来的？纯靠经验吗？
社恐自救指南 0
2026年1月22日 23:07:23 澳大利亚 20F
回复

看起来步骤都对，但实际环境会不会有别的防护？
狼行天下 1
2026年1月23日 08:48:48 上海市 21F
回复

这操作也太绕了吧，新手直接看懵
Whimsical Zephyr 0
2026年1月23日 10:57:28 江西省萍乡市 22F
回复

图片里那些200状态码，是不是都算成功上传了？
VengeanceSpecter 1
2026年1月23日 17:20:05 澳大利亚 23F
回复

cookie里藏路径这招挺隐蔽的
Neo风 0
2026年1月24日 08:19:27 中国 24F
回复

burp拦截那步具体咋操作？求详细步骤
琥珀 1
2026年1月24日 13:40:08 日本 25F
回复

之前做ctf也卡在找上传路径，简直噩梦😭
狼嚎风 0
2026年1月24日 16:30:39 浙江省杭州市 26F
回复

cookie藏源码这招够隐蔽的，学到了新姿势
孤灯灭 0
2026年1月25日 09:00:19 辽宁省抚顺市 27F
回复

直接用菜刀连也太莽了，不怕被ban吗😂
月光日记 0
2026年1月25日 11:54:47 四川省成都市 28F
回复

verify值记不住的话是不是就白搞了？
星际夜行者 0
2026年1月25日 13:27:53 日本 29F
回复

御剑扫目录那步感觉可以再详细点说
梦境收割者 0
2026年1月25日 22:57:45 河南省鹤壁市 30F
回复

这个writeup对小白确实不太友好，跳步严重
电子竞技王 0
2026年1月26日 20:52:25 日本 31F
回复

所以关键就是抓包看响应找verify值？
山隐归人 1
2026年1月27日 20:13:12 山西省大同市 32F
回复

上传路径的命名规则挺有意思的，时间+verify+文件名
学霸不是我 1
2026年1月30日 19:48:34 福建省福州市 33F
回复

除了菜刀还有别的连接工具推荐吗？
Josephtug 3
2026年2月3日 21:19:27 乌克兰 34F
回复

我喜欢度假栏目。激励人心了解路线。 [url=https://iqvel.com/zh-Hans/a/%E4%B9%8C%E5%85%8B%E5%85%B0/%E7%AC%AC%E8%81%82%E4%BC%AF%E7%BD%97%E5%BD%BC%E5%BE%97%E7%BD%97%E5%A4%AB%E6%96%AF%E5%85%8B%E5%84%BF%E7%AB%A5%E9%93%81%E8%B7%AF]第聶伯羅彼得羅夫斯克兒童鐵路[/url] 研究你的文章, 我看出, 世界很美。由衷感谢旅行灵感。
- 远方来信 1
  2026年2月3日 21:26:07 湖北省荆门市 B1
  回复
  
  @ Josephtug 这旅行灵感挺特别的

墨者学院-WebShell文件上传分析溯源(第2题)-writeup

热门话题

历史上的今天

记一次PHPstudy漏洞挖掘过程

Lazydocker

谷歌双因子认证漏洞：不需要令牌就可以禁用

Cobalt Strike折腾踩坑填坑记录

发表评论

热门搜索