burpsuite抓包修改上传获取webshell

   通过暴力破解后台管理账号及密码，成功登录后台后，在某些系统中，虽然对上传文件进行过滤仅仅允许图片文件上传，但在某些条件下，可以通过burpsuite进行抓包，修改包数据来实施重放攻击，直接上传webshell。

1.1.1暴力破解账号及密码

对目标站点http://**.****.com进行口令暴力破解，成功获取后台管理员***admin密码123456。

1.暴力破解后台账号及密码信息收集

（1）通过浏览网站页面，寻找发布者ID等信息来收集管理员及其员工信息。

（2）查看网页源代码，在登录等地方存在注释，有可能存在测试账号

（3）对公司站点进行信息收集，分析和获取员工编号规律及其相关信息，例如对某公司员工信息收集如图1所示，通过分析获取其员工编号信息从A0001-A9999，可以使用简单密码进行破解。

图1员工编号信息收集

2.通过burpsuite进行暴力破解

   通过burpsuite对收集的账号进行top 10000密码暴力破解。

1.1.2登录后台寻找上传漏洞

1.后台登陆测试

   获取后台登陆地址http://**.****.com/login.jsp，使用前面获取的账号进行登录，***admin/123456，成功登录后台。

2.寻找上传模块

   如图2所示，在“案例管理”-“新增”-“图片”，打开图片上传窗口。上传模块一般在公告管理、文章管理等模块中。可以通过浏览后台各个功能模块来发现，上传模块一般在图片、附件、媒体等地方，在fckeditor、ewebeditor中以图片来显示。

图2获取上传模块

3.测试上传

    在插入图片查看，单击“Browse”，选择一个图片文件，如图3所示，测试能否正常上传。

图3测试文件上传

1.1.3burpsuite抓包修改获取webshell

1.设置burpsuite

   打开burpsuite并设置浏览器代理为127.0.0.1，端口为8080。

2. burpsuite抓包

   再次重复前面的文件上传测试，如图4所示，在burpsuite中，选中POST所在的数据记录，然后将该条记录提交到Repeater（重放攻击）中。

图4burpsuite抓包

3.修改包文件名称并重放攻击

   在burpsuite中单击“Repeater”，在“Raw”包文件中，修改filename=520520.jsp.jpg文件名称为“520520.jsp”，如图5所示，单击“Go”提交修改后的数据到网站。

图5修改包头并提交

4.获取webshell

在burpsuite右侧窗口成功获取webshell地址提示信息，其webshell地址为：http://**.****.com/uploaddata/demo/10000002_20180723043136.jsp，如图6所示，成功获取webshell。

图6获取webshell

1.1.4渗透总结及安全防御

1.渗透总结

   很多公司都喜欢用弱口令来登录各种cms，一旦获取了用户名，可以通过burpsuite等工具来进行密码暴力破解。在获取cms的登录密码后，可以进一步的挖掘和利用漏洞。因此后台账号的暴力破解是除sql注入攻击外的另外一种有效攻击手段。

（1）Cknife跨平台菜刀管理工具

https://github.com/Chora10/Cknife

2.安全防范

（1）在cms初始化时，程序设置禁止弱口令进行后台登陆。

（2）强制员工设置强口令或者随机口令

（3）CMS登录采用双因子认证模式，建议采用token或者手机号码二次认证。

 更多精彩内容欢迎加入知识星球交流。

本文始发于微信公众号（小兵搞安全）：burpsuite抓包修改上传获取webshell