目录
6.1 client check
进入页面,如图6.1.1
图6.1.1
上传word文件,显示不允许,如图6.1.2
图6.1.2
根据显示弹窗可以判断是前端的 JS验证,F12 打开源代码可以看到这段 JavaScript 代码,如图6.1.3
图6.1.3
前端的验证可以直接绕过,这里直接把这里直接删除,不让前端检测,如图6.1.4
图6.1.4
删除之后就可以上传了,得到文件的路径,上传word文件,如图6.1.5
图6.1.5
6.2 MIME type
进入页面,如图6.2.1
图6.2.1
还是一样,直接传word上去,提示只能上传图片,如图6.2.2
图6.2.2
这样来看,应该是做了白名单的限制了,根据提示来看,可以通过修改mime类型绕过的,如果上传一个图片,Content-Type 的值是 image/jpeg ,如图6.2.3
图6.2.3
burpsuite里面改包上传,如图6.2.4
图6.2.4
上传成功,如图6.2.5
图6.2.5
6.3 getimagesize
进入页面,如图6.3.1
图6.3.1
burpsuite改包后。。。如图6.3.2
图6.3.2
那这里只能上传图片马了,.php 文件中的内容是一句话木马,.bat 文件中的内容是 cmd 即可,如图6.3.3
图6.3.3
然后打开 a.bat ,就是一个命令指示符。输入copy 666.jpg/b+1.php 123.jpg 之后回车即可。后面的666.jpg 就是自己命名的一个图片文件,如图6.3.4
图6.3.4
可以看到在此文件夹中已经生成了这个文件,即为图片一句话木马,如图6.3.5
图6.3.5
接下来就可以直接上传这个图片一句话木马文件了,得到文件路径,如图6.3.6
图6.3.6
服务器会将木马文件解析成图片文件,因此向其发送执行该文件的请求时,服务器只会返回这个“图片”文件,并不会执行相应命令。