最近受某单位邀请,对该单位的小程序进行渗透测试,当时没想拿出来分享,所以截图有限,现在想把大体的思路拿出来跟大家分享。
截止目前,该漏洞已经修复
首先拿到小程序以后,对大体的功能进行的查看,该小程序主要是商城,测试了支付漏洞以及越权等漏洞以后无果,最后在个人后台找到两处文件上传的地方,一个是上传身份证的地方,一个是上传银行卡的地方,上传身份证的地方是白名单没法上传shell,上传银行卡的地方,先经过测试,可以上传图片以外的文件。
经过fuzz,最终测试,发现ph[回车]p可以绕过阿里云waf对php的检测,不过有一点很坑的就是,只要带php就会被拦截,最恶心的地方就是连$_POST等都被过滤了,那么问题来了,怎么办呢?最终尝试将<?php中的php删除,可上传,并且成功解析,但是还有shell内容也会被检测,包括我前面所说的$_POST、$_GET等都被过滤,最后发现哥斯拉真的厉害,可以过目前市面上的很多waf,直接用哥斯拉生成的木马,上传即可。
最后使用哥斯拉连接shell,成功获取服务器主机权限,并且哥斯拉自带bypassOpenBasedir等插件功能,真的好用。
总结
文件上传不要慌,尝试fuzz是王道。遇到文件上传,只要不是白名单,就可以不断的fuzz,找到没有过滤的后缀,最终就有可能收获意想不到的惊喜,最后再补充一句,哥斯拉真的🐂🍺。
这里附上哥斯拉的下载地址:https://github.com/BeichenDream/Godzilla
微信搜索 : secteam
长按识别二维码关注
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论