拿webshell之上传过D盾到高并发getshell

365bet手机版网址:2018-11-21 365bet体育在线平台: 10846 次
  网站爆破得到后台
  后台存在弱口令
  admin
  admin
  后台功能并不多,能拿shell就一个FCK(新版)上传,其他没什么地方可突破。(后台owasp top 10漏洞都挖了一遍没什么东西除了上传没深入挖)
  上传一个正常的图片发现被拦截


  通过实验得到拦截的是内容OR文件名
  联想到心东大佬讲解上传突破安全狗的时候一删一改的,自己手动试了一下结果突破了。。
  这时候只需删除一个横杠即可绕过
  突破成功
  jpgx居然可以上传。。。 
  经过测试发现后缀名如果是包含jpg都会上传成功比如1.aspjpg  1.xxxjpg   1.ssjpgdd 都会上传成功
  iis7.5的 压力有点大 。。 
  经过十多分钟的测试 上传 1.asp?id=jpg  或 1.asp%00.jpg (空字节 跟 回车换行 的 解码编码  或 字母混淆 都不行 )
   PS:很多人都说截断截断。。但是心东教365bet体育在线平台的是 空字节。。截断按照专业话语来说就是空字节。。。
  先测试ASP后缀:
  1.asp%00.jpg    1.jpg%00.asp    1.asp%00jpg    等各种FUZZ了。。。。。
  不解码之前 上传之后变成1.asp%00.jpg 解码之后变成 下划线 1.asp_.jpg (下划线试了所有方法突破不了)
  试了asp各种后缀都不行 asa,cer,cdx,htr,aspx ,ashx (虽然是ASP的站 但是ASPX是支撑的)
  PS:测试的方法:
  1.asa%00.jpg 1.jpg.asa 1.jpg%00.asa
  1.cer%00.jpg 1.jpg.cer 1.jpg%00.cer
  php不知道解不解析 试了phtml php php2 php3
  大小写转换统统都试了一遍还是上传不了
  又试了shtml还是上传不了
  总结一下:这属于白名单验证,只要后缀包含有jpg关键字就能上传。
  经过分析:看到文件名是 年月日时分秒到毫秒这种规律来定义的,又联想到心东录制的逻辑漏洞高并发。。
  心想:如果文件名相同会怎么样?报错?还是以前的FCK文件2次上传成了xxx(1).xxx?
  经过测试


  高并发文件名冲突就成这样子了。。。
  看来SHTML是解析的。
  <!-- #include file="../../../default.asp"--> default.asp是主页名字
  官方说:file包含文件可以在同一级目录或其子目录中,但不能在上一级目录中,  virtual包含文件可以是Web站点上的虚拟目录的完整路径 
  但是心东跟365bet体育在线平台说 : shtml 上一级以及上上级 或上上上。。级 目录是可以包含进去的 (PS: 心东没演示直接说而已,想不到今天让我碰到了)
  到这里基本上是已经拿到shell了,但是开心的太早了。。
  试了一下 ASP ASPX ASA 利用高并发 发现不行 。。不知道怎么回事 但是从结果来看多出了2个结果一个是500跟301状态码。
  后试了htr能成功上传。。内容被拦截,找个过D盾的一句话上传成功!
  后心东叫我删shell,还给我留了一句话:挖漏洞可以,但是不要触碰到底线。列如挖掘SQL注入,能注入就停手 别去跑任何数据!!!切记!
  致谢心东对我的培训。
  再科普一下高并发只是一个概念
  并发 和 并行 理解
  你吃饭吃到一半,电话来了,你一直到吃完了以后才去接,这就说明你不支撑并发也不支撑并行.
  你吃饭吃到一半,电话来了,你停了下来接了电话,接完后电话以后继续吃饭,这说明你支撑并发。
  你吃饭吃到一半,电话来了,你一边打电话一边吃饭,这说明你支撑并行。
  并发:交替处理多个任务的能力
  并行:同时处理多个任务的能力
  并发的关键是你有处理多个任务的能力,不一定要同时。
  并行的关键是你有同时处理多个任务的能力,强调的是同时.
  所以它们的区别就是:是否是『同时』处理任务。
  并行的意思:
  任务1:去fofa 收集 phpmyadmin 域名
  任务2:爆破
  同时运行 任务1、任务2,这是并行
  并发意思:
  任务1:去fofa 收集 phpmyadmin 域名
  任务2:爆破
  设置下事件监听:当 任务1 收集到了有效目标,就切换到爆破的 任务2 中,爆破完  成后再切换回 任务1 继续收集。  
  如果还不理解并发意思 就换种说法:
  比如目录爆破: 爆破网站根目录  爆破到字典  admin这个目录 返回403状态码 又  去开个多线程爆破 admin这个目录的文件,然后又继续爆破根目录"/" 下的目录
  转自:黑白之道
分享到:
×

微信扫一扫分享

XML 地图 | Sitemap 地图