Upload-labs-master实验笔记:Pass18
以部分源码为例:
可以看到,该源码功能大概是,当我们上传一个文件后,文件会先上传到服务器,然后再判断该文件类型是否含在白名单中(jpg、png、gif),如果是,则会将该文件重命名后放在服务器中,如果不是,则会将该文件删除掉。那么我们可以知道,文件是先被上传到了服务器,而后才做判断之类的一系列操作,这样就存在条件竞争漏洞。
1.首先我们的思路是:可以使用burpsuit抓包软件中的Intruder模块,创建两个自动攻击方案,第一个自动攻击方案是一直持续的将文件上传到服务器中,这时服务器就会一直对应的做判断文件类型,然后是重命名文件还是删除文件的操作;第二个自动攻击方案是一直持续的访问我们上传的文件(我们可以写一个php代码,当我们访问执行该php代码时,会自动在该文件所在目录下创建一个一句话木马,这样就达到了我们将一句话木马上传到服务器的目的了):
我的上传文件代码如下图所示:
(当我们访问该代码时,即可实现自动写入名为:yjx.php,内容为:<?php @eval($_POST["yjx"])?>的文件)
2.上传pass18.php文件,浏览器设置好代理,使用burpsuit拦截上传请求。(具体burpsuit使用方法,自行百度,在这里不做赘述)
在Proxy界面拦截到上传文件数据报文,将该数据报文发送到Intruder中,然后在Intruder模块中设置自动攻击方案。
a、用burpsuit拦截上传请求,将拦截到的报文发送到intrude中。
b、查看攻击方案目标的报文,确认没问题。
c、设置攻击方案:
d、用burpsuit拦截访问pass18.php文件请求,将拦截到的报文发送到intrude中。
e、查看攻击方案目标的报文,确认没问题。
f、设置攻击方案:
g、首先我们可以看到,在upload目录中是没有写入yjx.php文件的。
h、点击2自动攻击方案,点击start attack;点击3自动攻击方案,点击start attack;
i、这时会弹出第一个攻击方案的攻击结果(一直在持续发送上传报文)
j、弹出第二个攻击方案的攻击结果(持续发送访问pass18.php报文),我们点击fileter:Showing all items,将不是显示success的其他项目的钩取消掉。
k、当2攻击方案界面显示有访问成功的方案时(200(success)),我们可以查看到upload目录上已经被写入了一个yjx.php文件,这时我们要上传一句话木马的目的就达到了。
l、在网页中访问yjx.php文件,得到结果。(也可以通过蚁剑、菜刀连接)