前言
这是我在对zzcms网站进行练习的时候发现的漏洞,这个网站还有很多的漏洞。
文件上传漏洞对网站的危害也是比较大的,可以通过自己上传的包含恶意木马的文件,成功上传后执行便可获取到所有的相关信息。
步骤
先找到可以上传图片的地方,然后看它的过滤方式,是白名单还是黑名单。
我们先注册一个用户,登上去之后在用户中心的页面,发现了一个可以上传图片的地方
然后我们点击上传图片,先随便上传一个试一下
发现他是用是的白名单,只支持jpg,gif,png,bmp的上传格式。
经过测试,我发现使用gif格式可以成功上传(其他的也可以)
我使用的方法是GIF89a图片头文件欺骗,就是在一句话木马前加上动态符号GIF89a,把文件变成图片格式。内容如下(这是一个简单的一句话木马)
之后我们去上传,上传前先把浏览器端口代理设置好(我这里已经提前设置好了)
还用到了一个工具,就是Burpsuite抓包工具(网上都可以下载)
这是抓到了包,之后右击发送到Repater里面抓返回包
发送的时候,修改下后缀,以保证木马上传后能够执行
经过测试,它虽然不允许上传php后缀的,但是经过测试格式修改为phtml可以上传成功
右边是返回包抓到的文件路径
之后复制路径去网页访问
到这,上传的图片已经成功上传了,我们要用到另一个工具“蚁剑”来测试一下是否成功。
点击添加数据,把url添加上去,连接密码是一句话木马的传参方式
之后点击测试看看是否成功
成功后点击添加,添加后就可以看它的所有信息了
以上就是所有步骤,爆破成功
通过这个上传漏洞,你可以看到他电脑上的所以东西,相当于一个后门