请选择 进入手机版 | 继续访问电脑版

文件上传漏洞、WebShell、防御及绕过利用、Web容器解析漏洞、编辑器上传漏

[复制链接]
尊悦模具刘沛昌 发表于 2020-12-31 19:23:08 | 显示全部楼层 |阅读模式 打印 上一主题 下一主题
文章目次



文件上传漏洞

漏洞概述

文件上传是web 应用的必备功能之一,比如上传头像显示个性化、上传附件共享文件、上传脚本更新网站等。如果服务器设置不当或者没有举行足够的过滤,web 用户就可以上传任意文件,包罗恶意脚本文件、exe步伐等,这就造成了文件上传漏洞。
漏洞成因



  • 一方面服务器设置不当会导致任意文件上传;
  • 另一方面,web应用开放了文件上传功能,而且对上传的文件没有举行足够的限制;
  • 再者就是,步伐开发摆设时候,没有思量到系统特性和验证和过滤不严格而导致限制被绕过,上传任意文件。
漏洞危害

上传漏洞最直接的威胁就是上传任意文件,包罗恶意脚本、步伐等。
如果Web 服务器所保存上传文件的可写目次具有执行权限,那么就可以直接上传后门文件,导致网站陷落。如果攻击者通过其他漏洞举行提权利用,拿到系统管理权限,那么直接导致服务器陷落。同服务器下的其他网站无一幸免,均会被攻击者控制。
通过上传漏洞获得的网站后门,就是webShell。
WebShell

在计算机科学中,Shell俗称壳(用来区别于“核"),是指“为使用者提供利用界面"的软件(下令表明器)。类似于windows系统给的cmd.exe或者linux下的bash 等,虽然这些系统上的下令表明器不止一种。
WebShell 是一个网站的后门,也是一个下令表明器,不外是以web 方式(HTTP协议)通信(通报下令消息),继承了Web用户的权限。
WebShell本质上是在服务器端可运行的脚本文件,后缀名为.php/.asp/.aspx/.jsp等,也就是说WebShell接收来自于web用户的下令,然后在服务器端执行。
大马

有一类WebShell之所以叫大马,是因为要与小马(一句话木马)区分开,而且代码比力大,但是功能比力丰富。
同样,大马有许多种脚本格式,其功能根本相同。每个团队都有自己的定制大马。
小马

小马就是一句话木马,因为其代码量比力小,就是一句简朴的代码。以下是各个脚本的一句话。
ASP:
ASP.NET:
PHP:
一句话木马短小干练,功能强大,但是需要共同中国菜刀或者中国蚁剑客户端使用,中国菜刀是一句话木马的管理器,也是下令利用接口。中国菜刀在毗连一句话木马的时候需要填写密码(实际上就是变量名)。比方,我们上传一个php的一句话木马,密码就是[cmd]。

中国蚁剑与一句话木马共同实现了三大根本功能,如下:


  • 文件管理

  • 虚拟终端

  • 数据库管理
    首先得毗连数据库

    然后就可以执行SQL语句 ,管理数据库了

GetShell

就是获取WebShell 的过程和效果,固然任意文件上传是GetShell的主要方式,但并不是唯一途径。
漏洞使用的条件


  • Web 服务器要开启文件上传功能,而且上传api(接口)对外"开放”(web 用户可以访问)
  • Web 用户对目的目次具有可写权限,甚至具有执行权限,一般情况下,Web目次都有执行权限。
  • 要想完美使用文件上传漏洞,就是上传的文件可以执行,也就是web容器可以分析我们上传的脚本,无论脚本以什么样的形式存在。
  • 无视以上条件的情况就是服务器设置不当,开启了PUT方法。
PUT方法上传文件

HTTP 请求方法之一,允许向服务器直接写入文件
Apache 开启PUT方法:


  • 测试Apache 是否开启了put方法
    使用telnet举行测试:telnet ip port,打开回显ctrl+],回车输入图片所示内容

  • Apache 开启put方法利用

    • 打开httpd.conf文件
      开启图中所示模块:

      启用模块:

      开启文件锁:

      按照路径创建DavLock文件

      重启Apache服务

  • 写入文件并检察

漏洞的防御、绕过和使用

文件上传的防御、文件上传的防御绕过另有使用,总是分不开的。为什么这么防?为什么这么攻击(防御绕过)?总是相互胶葛在一起的两个问题,攻防瓜代。所以,下文也是以这种方式讨论文件上传的问题。
好坏名单战略

好坏名单是最常用的安全战略之一。在计算机安全中,好坏名单类似于一个列表,列表中写了一些条件或规则,如果“客体"在黑名单中,一律“克制”,如果“客体"在白名单中,一律“允许”。类似于手机号码的好坏名单。
如:Chrome浏览器的好坏名单战略。
战略说明URLBlackList1.克制用户访问您已阻止的网址。不外,用户可以访问黑名单之外的所有网址。2.不设置此政策:用户将可以自由访问所有网址。URLWhiteList1.将此政策与URLBlacklist政策搭配使用,可将特定网址设为黑名单的例外网址并允许用户访问。2.白名单的优先级高于黑名单。您至少要在黑名单中添加一个条目,才华正常使用此政策。3.不设置此政策:网址黑名单将没有例外网址。安装upload-labs

github项目地址:https://github.com/c0ny1/upload-labs


  • 情况要求:
    利用系统: windows、Linux
    php版本:推荐5.2.17(别的版本大概会导致部门Pass无法突破)
    php组件: php_gd2,php_exif (部门Pass需要开启这两个扩展)
    apache:以moudel方式毗连
将下载好的安装包解压到web根目次就可以访问了!(不发起使用)

发起直接下载配套的phpstudy情况(压缩包里自带phpstudy),不容易出现问题,要是直接将漏洞库拖到现在的phpstudy的web根目次下,再更改php版本,下面好几个实验会出现问题(踩坑了)
前端限制与绕过

有些web 应用的文件上传功能,仅在前端用JS脚本做了检测,如检测文件后缀名等。
upload-labs第一关为例:
发现不允许上传:

举行代码审计:

前端JS脚本检测的安全防御是十分单薄的。可以非常轻松的绕过。
方法一:修改js代码,直接打开控制台将调用这个函数的事件删掉(在Chrome浏览器失败,在360浏览器乐成)


打开检察:

方法二:使恶意文件后缀名符合白名单战略,用Burp挂署理抓包,然后修改文件后缀名即可。


转发之后发现上传乐成:

打开检察

对于文件上传,只从web 前端举行检测显然防护不敷,那么服务器端检测就特别重要了。一般服务器端检测,接纳好坏名单战略,检测如下内容。
服务器端检测—MIME范例

MIME(Multipurpose Internet Mail Extensions)是形貌消息内容范例的因特网标准。MIME消息能包罗文本、图像、音频、视频以及其他应用步伐专用的数据。常见的MIME范例(根据浏览器不同会变)如下:
文件扩展名Mime-Type.jsapplication/x-javascript.htmltext/html.jpgimage/jpeg.pngimage/png.pdfapplication/pdf在HTTP 协议中,使用Content-Type 字段表现文件的MIME范例。
在服务器端会检测Content-Type范例,Pass2为例:
方法:上传php文件,使用BP抓包,更改Content-Type范例

上传乐成

由于服务器在检测Content-Type范例的时候,取得的变量来自于用户,所以可以用Burp抓包,修改这个字段,使其正当,即可绕过限制上传任意文件。
服务端检测—文件内容

除了检测上传文件的Content-Type范例,为了保持安全性,服务器端还会检测文件内容。
PHP中有一个函数getimagesize(),这个函数本意是查抄图片的巨细,但是在查抄之前,该函数会判断目的文件是否是一张图片。因此,可以用该函数来检测文件的内容。
Pass14为例:

对于文件内容检测,可以通过制作图片木马绕过。
制作图片木马


  • 文件幻术
    所有各类图片文件的头部都是相同的,getimagesize()无法识别文件幻术生成的文件。
    png:89 50 4E 47 0D 0A 1A 0A 00 00 00 0D 49 48 44 52
    jpg:FF D8 FF E0 00 10 4A 46 49 46 00 01 01 01 01 2C
    gif:47 49 46 38 39 61 F1 00 2C 01 F7 00 00 64 32 33
    以上十六进制数字在用的时候转换为ASCII码加在文件头部即可
    gif还可以直接在头部加GIF89a

    上传,乐成:

    使用文件包罗漏洞打开我们上传的文件:
    点击文件包罗漏洞会跳转到含有这个漏洞的页面,我们就在这里举行测试我们上传的图片木马

    传入参数:注意文件路径


  • 下令行方法:通过下令将图片和木马文件合二为一


    上传,乐成:乐成之后会自动重定名

    注意:这里我把它归并为png图片,但是好像由于它原来是jpg图片,所以传过去照旧jpg图片
    图片木立刻传乐成之后还得使用文件包罗漏洞来打开:

    运行我们上传的图片木马:

服务端检测—后缀名

服务器端还会检测文件后缀名。
服务器端在检测文件名的时候,依然会接纳好坏名单战略。
黑名单战略:不允许上传 .php | .asp | .aspx | .jsp…等可执行脚本的文件;
白名单战略:只允许上传 .jpg | .gif | .png | .doc | .rar…等格式的文件。
绕过方式:
对于黑名单,我们可以寻找其他可允许上传的范例来绕过限制。可以执行脚本后缀名
  1. .php .php3 .phtml.asp .aspx .ascx .ashx .asa .cer.jsp .jspx
复制代码


对于后缀名白名单战略,我们只能上传在白名单内的文件后缀名。
需要共同其他漏洞来绕过
00截断

00 就是Null(空)字符,URL中表现为%00,十六进制0x00,00 截断会导致文件上传路径截断。
我们以Pass12为例:get请求的00截断
这个漏洞必须:php 版本 < 5.3.4且php的参数magic_quotes_gpc必须关闭


使用BP抓包:
直接发送,发现报错

更改后缀名之后继承发送,发现乐成且路径在我们的get请求中

实验更改路径再次提交,发现上传堕落,根据代码审计发现是move_uploaded_file()函数这块出了问题,推测是保存文件的路径堕落

这时候我们给一个文件的名字看可否乐成,发现照旧不乐成,盲猜是将我们通报的文件名看成路径了,效果没有发现这个路径

这时候我们做一个00截断来实验,发现上传乐成
因为上传的表单中有一个enctype的属性,而且需要enctype=“multipart/form-data” (不对表单中数据举行编码),path大多数都是存放在表单中的,因此需要在数据包中举行url decode利用使%00酿成字符串竣事符号。

实验访问:

  原理:由于文件系统函数底层使用c语言来实现的,继承了c的特性:界说字符串的时候不知道字符串在哪竣事,所以需要空字符来资助判断字符串的末了,那么这个move_uploaded_file()函数在执行的时候读取上传文件的路径时,原来后面另有要拼接的东西,但因为我们用空字符截断了,所以他认为读取完毕,然后就发生了00截断!
Pass13:post请求的00截断
先抓包,然后更改文件上传路径,这里有点不一样,写一个加号+作为标记

打开十六进制表,找到+号对应的十六进制码2b

更改2b为00做00截断

再转发

复制链接检察

.htaccess 攻击

.htaccess 是Apache 服务器的分布式设置文件,该设置文件会覆盖Apache服务器的全局设置,作用域是当前目次及其子目次。
如果一个web应用允许上传.htaccess 文件,那就意味着攻击者可以更改Apache 的设置,这是十分危险。.htaccess攻击想象空间非常大。
首先看Apache 允许.htaccess文件覆盖掉Apache 的设置开关:

将.png文件看成PHP文件分析

我们可以修改设置文件之后,就可以设置apache的设置文件.htaccess
将以下代码写入文件,并保存成.htaccess , 放到测试目次下
AddType application/x-httpd-php .png
在同一目次下创建一个文件 info. png,文件内容如下
  1. [/code] [align=center][img]https://img-blog.csdnimg.cn/20201216153651368.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  2. 当我们访问该文件时,info.png内的PHP 代码将会被执行。
  3. [align=center][img]https://img-blog.csdnimg.cn/20201216153802160.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  4. [size=3]文件名中包罗php关键字[/size]
  5. 当文件名 info.php.png 中包罗关键字 .php,而且 .htaccess 文件内容如下:AddHandler php5-script php,info.php.png 中的代码会被执行。
  6. [align=center][img]https://img-blog.csdnimg.cn/20201216154214156.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  7. [align=center][img]https://img-blog.csdnimg.cn/20201216154253751.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  8. [size=3]匹配文件名[/size]
  9. 以下设置是匹配文件名 haha,会执行其中的PHP代码
  10. [code]SetHandler application/x-httpd-php
复制代码


接下来我们用Pass4来演示一下:
删掉内里原来的文件

先上传.htaccess文件,再上传haha文件



Web容器分析漏洞

Web容器分析漏洞,就是Web容器在分析脚本时出现的“Bug”。
Apache 分析漏洞

古老的版本才会有,新版本中已经被修复!
上传info.php.xxx.xx.x文件,发现可以被分析乐成!
apache服务器分析文件时找后缀名的时候是从后往前举行的,遇见一个x不认识,会继承往前知道发现php就会将它看成php文件来分析

IIS6.0 分析漏洞

win2003里的版本就是6.0的,可以在内里搭建情况。创建网站后记得勾选支持asp



  • 文件名:time.asp;1.jpg 内容如下,会被IIS分析为asp文件执行
  1. [/code] [align=center][img]https://img-blog.csdnimg.cn/20201217153142739.png[/img][/align]
  2. 点击访问
  3. [align=center][img]https://img-blog.csdnimg.cn/20201217153210950.png[/img][/align]
  4. [list]
  5. [*]a.asp/1.jpg
  6. 创建一个文件夹a.asp,在内里创建一个1.jpg文件,内容如上
  7. [/list] [align=center][img]https://img-blog.csdnimg.cn/20201217152510914.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  8. 点击访问,乐成执行
  9. [align=center][img]https://img-blog.csdnimg.cn/20201217152921161.png[/img][/align]
  10. [size=4]PHP CGI分析漏洞[/size]
  11. 设置文件的问题:这个值即是1,改为0就没有这俩漏洞了
  12. [align=center][img]https://img-blog.csdnimg.cn/20201216165841199.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  13. [size=3]IIS7.0/7.5+PHP 情况[/size]
  14. 搭建情况 :win2008+php
  15. PHP情况借用phpstudy中的PHP情况:php-5.4.45
  16. IIS搭建乐成:[align=center][img]https://img-blog.csdnimg.cn/2020121715440515.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  17. 让IIS支持php:
  18. [align=center][img]https://img-blog.csdnimg.cn/20201217154731857.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  19. [align=center][img]https://img-blog.csdnimg.cn/20201217155027622.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  20. 这样IIS就支持php了
  21. 我们在web根目次下创建一个info.png文件,内容写上,访问:
  22. [align=center][img]https://img-blog.csdnimg.cn/2020121715542240.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  23. [align=center][img]https://img-blog.csdnimg.cn/202012171555226.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]用在url后面加上/.php就可以分析了
  24. [align=center][img]https://img-blog.csdnimg.cn/20201217162939636.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  25. 要想制止这个漏洞,我们就需要更改一下设置就行了
  26. [align=center][img]https://img-blog.csdnimg.cn/20201217163402524.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  27. 再次访问:
  28. [align=center][img]https://img-blog.csdnimg.cn/20201217163436847.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  29. 要是实验不乐成的,大概是设置文件时区的问题,将php.ini中的时区改为Asia/shanghai 应该就可以了
  30. [size=3]Nginx +PHP 情况(Nginx分析漏洞)[/size]
  31. vulhub上有这个漏洞情况,我们直接使用它来一键搭建情况:
  32. [align=center][img]https://img-blog.csdnimg.cn/20201217095923702.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  33. 然后访问:http://your-ip/uploadfiles/nginx.png
  34. [align=center][img]https://img-blog.csdnimg.cn/20201217100309477.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  35. 然后使用:nginx.png/.php来检察,发现分析乐成
  36. [align=center][img]https://img-blog.csdnimg.cn/20201217100505197.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  37. [size=4]Nginx 文件名逻辑漏洞(CVE-2013-4547)[/size]
  38. 使用vulhub一键搭建情况:
  39. [align=center][img]https://img-blog.csdnimg.cn/20201217101236705.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  40. [align=center][img]https://img-blog.csdnimg.cn/20201217101219715.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  41. 然后访问:http://your-ip:8080/,发现一个上传页面
  42. [align=center][img]https://img-blog.csdnimg.cn/20201217101329525.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  43. 这个情况是黑名单验证,无法上传.php文件,我们上传文件时使用BP抓包
  44. [align=center][img]https://img-blog.csdnimg.cn/20201217101753853.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  45. 我们更改后缀名为.png+空格,举行上传:
  46. [align=center][img]https://img-blog.csdnimg.cn/20201217143915294.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  47. 上传乐成之后复制url进入repeater模块:
  48. [align=center][img]https://img-blog.csdnimg.cn/20201217113637976.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  49. 在请求路径后面加上空格..php
  50. [align=center][img]https://img-blog.csdnimg.cn/20201217144043722.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  51. 打开十六进制模块,将第一个点改为00举行截断
  52. [align=center][img]https://img-blog.csdnimg.cn/20201217144114410.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  53. 然后转发,进入render模块发现分析乐成
  54. [align=center][img]https://img-blog.csdnimg.cn/2020121714414220.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  55. [size=5]常见编辑器上传漏洞[/size]
  56. 编辑器就是网站配景编辑网页的在线编辑器,会自动集成文件上传功能,这些编辑器的某些版本也存在文件上传漏洞。
  57. [size=4]ewebeditor[/size]
  58. 先安装情况:
  59. 源码之家[url=https://www.mycodes.net/106/1252.htm]https://www.mycodes.net/106/1252.htm[/url]下载源码
  60. 之后将解压后的目次拖动到IIS web根目次下
  61. [align=center][img]https://img-blog.csdnimg.cn/20201217170836945.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  62. 搭建好情况之后,举行配景访问[admin/admin]:http://ip/eWebEditor_280_Free_Final/admin_login.asp
  63. [align=center][img]https://img-blog.csdnimg.cn/20201217171042825.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  64. 点击样式管理:
  65. [align=center][img]https://img-blog.csdnimg.cn/20201217171118502.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  66. 点击设置:
  67. [align=center][img]https://img-blog.csdnimg.cn/2020121717121167.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  68. 更改之后就可以上传asp木马来控制网站了
  69. [size=4]fckeditor[/size]
  70. 使用良精企业网站管理系统asp版作为靶场,源码百度一大堆,这里就不放了
  71. 将下载好的源码使用IIS举行网站发布:
  72. [align=center][img]https://img-blog.csdnimg.cn/20201217181309395.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  73. 进入配景管理界面:
  74. [align=center][img]https://img-blog.csdnimg.cn/20201217181415881.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  75. 登录:
  76. [align=center][img]https://img-blog.csdnimg.cn/20201217181445799.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  77. 添加企业信息,可以看到fckeditor编辑器:
  78. [align=center][img]https://img-blog.csdnimg.cn/20201217181629243.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  79. 点击图片按钮可以上传图片:
  80. [align=center][img]https://img-blog.csdnimg.cn/20201217181546510.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  81. [align=center][img]https://img-blog.csdnimg.cn/2020121718170148.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  82. 打开资源管理器,就可以上传文件了
  83. [align=center][img]https://img-blog.csdnimg.cn/20201217181718595.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  84. 我们选择上传一个asp的大马,使用BP抓包:
  85. [align=center][img]https://img-blog.csdnimg.cn/20201217185713347.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  86. 我们将文件格式更改为.jpg格式:
  87. [align=center][img]https://img-blog.csdnimg.cn/20201217185918571.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  88. 复制url检察文件:
  89. [align=center][img]https://img-blog.csdnimg.cn/20201217190123492.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  90. 这时候我们发现对方的IIS是6.0版本的,看是否含有分析漏洞:
  91. [align=center][img]https://img-blog.csdnimg.cn/20201217190326780.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  92. 发现上面这种方法不可,我们可以实验别的一种方法:
  93. 首先创建一个文件夹:
  94. [align=center][img]https://img-blog.csdnimg.cn/20201217190554253.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  95. [align=center][img]https://img-blog.csdnimg.cn/20201217190650218.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  96. 我们创建一个文件夹抓包分析一下:
  97. [align=center][img]https://img-blog.csdnimg.cn/20201217190925467.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  98. [align=center][img]https://img-blog.csdnimg.cn/20201217191052837.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  99. 发现文件夹创建乐成:
  100. [align=center][img]https://img-blog.csdnimg.cn/20201217191157999.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  101. [align=center][img]https://img-blog.csdnimg.cn/20201217191307175.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  102. 我们再往创建好的a.asp文件夹中上传我们的木马文件:
  103. [align=center][img]https://img-blog.csdnimg.cn/20201217191522215.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  104. 上传乐成:
  105. [align=center][img]https://img-blog.csdnimg.cn/20201217191555401.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  106. 这时候就可以使用IIS6.0分析漏洞来执行我们的木马了:
  107. [align=center][img]https://img-blog.csdnimg.cn/2020121719225321.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  108. [align=center][img]https://img-blog.csdnimg.cn/20201217192310571.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  109. 这时候我们可以上传一个小马来拉大马一把~
  110. [align=center][img]https://img-blog.csdnimg.cn/20201217192559206.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  111. 上传乐成:
  112. [align=center][img]https://img-blog.csdnimg.cn/20201217192624129.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  113. 举行访问:
  114. [align=center][img]https://img-blog.csdnimg.cn/20201217192733801.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  115. 我们复制url使用蚁剑来毗连小马:
  116. [align=center][img]https://img-blog.csdnimg.cn/20201217192951438.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  117. 发现不能上传文件,用菜刀来试试:
  118. [align=center][img]https://img-blog.csdnimg.cn/20201217205202373.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  119. 我们再来访问一下上传的大马:
  120. [align=center][img]https://img-blog.csdnimg.cn/20201217205423637.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  121. 登录乐成:就可以为所欲为了
  122. [align=center][img]https://img-blog.csdnimg.cn/20201217205512124.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80NTY3NzE0NQ==,size_16,color_FFFFFF,t_70[/img][/align]
  123. [size=5]变量覆盖漏洞:原因是使用了$$界说变量[/size]
  124. [code]
复制代码
如果我正常访问这个页面:

我们如果输入自界说的参数name:

这样就会造成变量覆盖的现象,而且参数是用户可控的!

来源:https://blog.csdn.net/weixin_45677145/article/details/111209350
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则


专注素材教程免费分享
全国免费热线电话

18768367769

周一至周日9:00-23:00

反馈建议

27428564@qq.com 在线QQ咨询

扫描二维码关注我们

Powered by Discuz! X3.4© 2001-2013 Comsenz Inc.( 蜀ICP备2021001884号-1 )