在逛某论坛的时候,发现某位师傅丢出一个存在有漏洞的系统,很快就有师傅getshell并丢出相关源码,按照师傅们提示的漏洞点进行审计。
环境搭建
宝塔+php5.x+Mysql5.x
默认密码 admin/123456登录到管理员后台,存在漏洞的上传点如下
先构造一个正常的图片进行上传 然后改为php再次进行上传 无法上传成功
对返回包的内容进行unicode解码
审计
Thinkphp5框架 直接去Controller里面找到对应的上传函数
从以上的代码可以看出,取出后缀后并未进行过滤 比如去除空格或者特殊字符等 而是直接与黑名单进行比对,由于目标环境是宝塔+Linux 可以采用php+空格、黑名单绕过等。
由于代码层面上是如下 所以也可以构造如 1.png.php、1.gif.php,.php完全可以逃逸出来,躲避检测 测试如下。
$arr= explode(".",$name);$ext=$arr[1];if($ext=='html'||$ext=='htm'||$ext=='jsp'||$ext=='php')
靶场测试
1.php+空格 成功上传php文件
1.png.php 成功上传php文件
通过xx搜索,发现该系统还是非常多的,但并不是每一个都有弱口令(看运气了)
制作图片木马上传
坑点:使用1.php+空格 并不能直接getshell,的确是逃过了php后缀的检测,但是空格最后生成也是携带着了,无法进行有效的访问,也不能进行连接。
原文始发于微信公众号(LemonSec):小记一次审计到getshell
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论