公开课基础演练靶场 第五章 绕过防护上传木马详细解题思路

       话不多说，打开传送门。

       来到了一个陌生的自带提示的世界！！根据提示，我想起来了上一章我通过xss攻击拿到的管理员cookie。因此我需要去将那个cookie复制过来，如下图。

       我来到了xss平台，对这串cookie进行了仔细地审视，发现这个cookie中有很多的键值对。一般来说，cookie标识什么信息只需要一个键值对，这么多键值对标识的肯定是不同的身份信息。因此我查看了这些键名，发现有一个键名开头是admin，这就肯定和管理员有关了。因此我复制了ADMINSESSIONIDCSTRCSDQ=LBMLMBCCNPFINOANFGLPCFBC这串cookie键值对，如下图。

       接下去回到网站，通过查看元素或者F12快捷键或者开发者工具打开开发者工具，点击Application，在里面的cookie中选中当前页面，并为其添加管理员cookie键值对，最后点击链接跳转，如下图。

       跳转之后，我们就进入了这个网站的后台，如下图。

       再来清理一下思路，首先我已经知道这个网站的后台使用asp语言编写的，那么我就可以上传对应的asp一句话马去植入；其次，这个网站的服务器是iis6，通过百度了解到，iis6存在着两个解析漏洞--1.会将asa/cdx/cer文件解析成asp文件；2.当我在其服务器建立一个名为.asp文件夹后，在其下的所有文件都会被解析成asp文件。这样理论上，我们就可以上传上述多种格式的文件去植入一句话马。然后，我又查看了该网站的网站配置，发现在上述格式中，它只允许上传cer文件，如下图。

       但是我比较耿，所以我在cer后面加了个asp，然后保存了设置，如下图。

       但是并没有什么卵用，保存之后，它自己恢复了，如下图。

       其实除了asp之外，我还尝试着添加了txt/mp3等格式，但是毫无疑问，都是加不上去的。因此我判定，这个地方根本就不能被更改。然后我又来到了下载中心的添加下载程序，发现有两个点是支持文件上传的。这就意味着这个网站可以通过后台功能点上传gethell，所以综上所述，需要准备一个.cer文件，如下图。

       如图所示，我写好了一句话马--eval request("one")，并保存为one.cer。

       然后回到网页选择该文件进行上传，如下图。

       此时发现，这个文件没有上传成功。根据老师上课时的讲述，应该就是程序检测到了eval后面直接跟上了request，因此被防护拦截了，如图所示。

       于是我再次编辑这个一句话马，将执行参数和接收参数分开了，如下图。

       但是仍然没有通过上传。这又是为什么？

       我将自己写的一句话马和老师写的马对比了很久，并且测试了很多次仍然没想出其中的要领。因此我去请教了邹老师，邹老师告诉我是因为头行数检测。也就是说每一种格式的文件的头行数都是有区别的。于是我用UltraEdit编辑器打开了jpg等文件进行比较，结果发现每种文件都有自己的文件头。用十六进制体现的话就是最开始相同的那些十六进制数，如下图。

       最后我尝试着在原来的一句话马上添加了多行注释，如下图。

       这一次就上传成功了，如下图。

       此时，我们复制上传的文件在服务器中的完整路径，如下图。

       打开菜刀，右键然后点击添加，如图所示。

       将路径粘贴到地址栏，再将自定义参数写入右上角的区域，最后选择服务器为ASP，点击添加，如下图。

       当出现当前网站网址的选项之后，右键点击，选择文件管理，如下图。

       然后就出现了类似文件管理器的视图。点击E盘中的05文件夹，也就是网站根目录，就可以找到FLAG!.txt，如下图。

       最后，打开这个文件，通关key就在这里--zkz{G3t_the_admin!Sh3ll}。

       完成。