前言
前几天看到有大佬提到一种小型贷款网站,这种贷款网站从账号的注册到借款的流程都显得很随便,仿佛巴不得直接无条件借钱给你似的,充满“诈骗”的气息。
任意文件上传
看着充满暗示的提示语,我们仿照受害者的思路点击借款:
随意填写借款金额后,会让我们上传身份证信息:
文件上传的时候,发现前端有检验。随手上传了图片木马,并用bp抓包分析。
值得一提的是,在bp抓取到的数据包下面。可以看到有一段base64图片加密了后的数据,经过测试这段数据并不会被后端所检验和使用,也就说可以直接删掉。这操作也是有点让我懵圈。况且后端也并未对文件内容进行校验,有点DVWA的medium难度的味道。直接修改文件内容为我们常用的shell并将后缀改为php后放包,返回文件路径。
回到前端页面,F12获取木马文件所在的完整路径(上面返回的包少了storage):
蚁剑连接,可以看到数不胜数的图片文件夹。。
至于为什么我说这是个骗局呢,往下看就知道了。
bypass disable_funtions
也就是说压根不管你真实信息如何,我都可以‘借钱’给你。本着不能做事不管的原则,进行了下一步渗透。
竟然没有执行权限,本着不能getshell了个寂寞的原则,查看phpinfo中函数禁用的相关信息。在很多PHP网站中,出于安全防护往往会禁用一些危险函数,加大我们的渗透难度。比如危险函数:exec(),sysytem()等等。
发现禁用了绝大部分的执行函数,再往下看open_basedir的值为空。想起蚁剑插件市场上强大的一款disable_funtions绕过插件。
从插件中可以看到函数支撑的选项,禁用了我们熟悉的dll和putenv。那么LD_PRELOAD模式是肯定不能用了。
经过测试,PHP7_GC_UAF或者PHP7_Backtrace_UAF模式都可成功绕过。
现在拿到一个可执行权限的shell,为了避免破坏数据,后续操作还是留给警察叔叔吧。。。
END
文章转载公众号:学渣成长之路
6883
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
