公开课基础演练靶场 第五章 绕过防护上传木马详细解题思路

猪骑士   ·   发表于 2018-09-05 21:39:41   ·   CTF&WP专版

       话不多说,打开传送门。

       来到了一个陌生的自带提示的世界!!根据提示,我想起来了上一章我通过xss攻击拿到的管理员cookie。因此我需要去将那个cookie复制过来,如下图。


       我来到了xss平台,对这串cookie进行了仔细地审视,发现这个cookie中有很多的键值对。一般来说,cookie标识什么信息只需要一个键值对,这么多键值对标识的肯定是不同的身份信息。因此我查看了这些键名,发现有一个键名开头是admin,这就肯定和管理员有关了。因此我复制了ADMINSESSIONIDCSTRCSDQ=LBMLMBCCNPFINOANFGLPCFBC这串cookie键值对,如下图。


       接下去回到网站,通过查看元素或者F12快捷键或者开发者工具打开开发者工具,点击Application,在里面的cookie中选中当前页面,并为其添加管理员cookie键值对,最后点击链接跳转,如下图。


       跳转之后,我们就进入了这个网站的后台,如下图。


       再来清理一下思路,首先我已经知道这个网站的后台使用asp语言编写的,那么我就可以上传对应的asp一句话马去植入;其次,这个网站的服务器是iis6,通过百度了解到,iis6存在着两个解析漏洞--1.会将asa/cdx/cer文件解析成asp文件;2.当我在其服务器建立一个名为.asp文件夹后,在其下的所有文件都会被解析成asp文件。这样理论上,我们就可以上传上述多种格式的文件去植入一句话马。然后,我又查看了该网站的网站配置,发现在上述格式中,它只允许上传cer文件,如下图。


       但是我比较耿,所以我在cer后面加了个asp,然后保存了设置,如下图。


       但是并没有什么卵用,保存之后,它自己恢复了,如下图。


       其实除了asp之外,我还尝试着添加了txt/mp3等格式,但是毫无疑问,都是加不上去的。因此我判定,这个地方根本就不能被更改。然后我又来到了下载中心的添加下载程序,发现有两个点是支持文件上传的。这就意味着这个网站可以通过后台功能点上传gethell,所以综上所述,需要准备一个.cer文件,如下图。


       如图所示,我写好了一句话马--eval request("one"),并保存为one.cer


       然后回到网页选择该文件进行上传,如下图。


       此时发现,这个文件没有上传成功。根据老师上课时的讲述,应该就是程序检测到了eval后面直接跟上了request,因此被防护拦截了,如图所示。


       于是我再次编辑这个一句话马,将执行参数和接收参数分开了,如下图。


       但是仍然没有通过上传。这又是为什么?



       我将自己写的一句话马和老师写的马对比了很久,并且测试了很多次仍然没想出其中的要领。因此我去请教了邹老师邹老师告诉我是因为头行数检测。也就是说每一种格式的文件的头行数都是有区别的。于是我用UltraEdit编辑器打开了jpg等文件进行比较,结果发现每种文件都有自己的文件头。用十六进制体现的话就是最开始相同的那些十六进制数,如下图。


       最后我尝试着在原来的一句话马上添加了多行注释,如下图。


       这一次就上传成功了,如下图。


       此时,我们复制上传的文件在服务器中的完整路径,如下图。


       打开菜刀,右键然后点击添加,如图所示。


       将路径粘贴到地址栏,再将自定义参数写入右上角的区域,最后选择服务器为ASP,点击添加,如下图。


       当出现当前网站网址的选项之后,右键点击,选择文件管理,如下图。


       然后就出现了类似文件管理器的视图。点击E盘中的05文件夹,也就是网站根目录,就可以找到FLAG!.txt,如下图。


       最后,打开这个文件,通关key就在这里--zkz{G3t_the_admin!Sh3ll}


       完成。


打赏我,让我更有动力~

2 Reply   |  Until 2018-9-6 | 2037 View

cmusi
发表于 2018-9-6

多谢多谢,有些不懂得地方弄清楚了


评论列表

  • 加载数据中...

编写评论内容

cmusi
发表于 2018-9-6

还有一个疑问,第一次上传变形一句话马失败,是因为程序头行数检测,第二次在木马文件中增加“”“”“”符号后,文件格式还是.cer,也就是说头行数应该没有变化,为什么就成功了?

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.