本文记录了一次PHP环境下的安全挑战,从上传限制、Content-type验证到各种绕过技巧,如禁用JS、文件后缀修改、Apache特性利用等,最终实现木马上传并连接蚁剑。
以下用这句一句话木马:
<?php @eval($_POST['test']);?>
Pass-01
先直接上传一句话木马,发现上传不了,并且有错误提示;
右键查看源代码,发现在提交表单中有一个检查文件类型的函数,这个函数规定只能上传后缀为.jpg,.png,.gif的文件;
绕过方法:
1.禁用JS;
2.上传规定后缀的文件,然后抓包,修改文件后缀。
上传成功,复制图像链接:http://127.0.0.1/upload-labs-master/upload/test.php;
蚁剑连接成功。
Pass-02
仍然直接上传一句话木马,提示错误;
查看源代码发现限制了Content-type,白名单机制;
抓包将Content-type修改为白名单允许的类型即可;
上传成功,复制图像链接;
蚁剑连接成功。
Pass-03
直接上传一句话木马,根据错误提示可知这是黑名单机制;
我还发现抓包后修改文件后缀这个方法不行,可能是在后端检测的吧。
利用 appache的特性,php php3 php5 phtml 都会当做php解析执行;
httpd.conf里没有上图红框中的代码,有人知道是为啥吗?这关先放这。
后面的步骤和上一关差不多,都是上传一句话木马后复制图片链接,再用蚁剑连接。
Pass-04
第四关也暂时跳过一下,我没有.htaccess这个文件,就离谱。
Pass-05
分析源码,发现绕过了多种后缀,尝试大小写绕过。
用burpsuite抓包后将文件后缀部分改为大写。
理论上讲,这关操作到这里就可以用蚁剑连接成功了,但是由于前面几关的问题尚未解决,我这关中抓包修改后缀为.phP后的文件执行不了。
Pass-06
查看源码发现没有限制文件后缀中的空格,所以我们尝试在后缀中加空格,即空格绕过。
仍然抓包修改后缀。
复制图片链接,用蚁剑连接成功。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
