靶场5 绕过防护上传木马 桐镜作业

利用上节打到的管理员cookie，绕过密码直接登录后台。使用burp抓取数据包

将cookie设置为管理员cookie，但实践中发现还需要绕过外部地址的限制，故需要修改host和referer，设置为127.0.0.1

成功登录后台：

现在需要找到上传点，能上传文件的地方。

上传文件后发现提示文件格式无法上传：

我们将文件格式改为cer，因为iis6.0中，可以解析cer文件，而且cer文件在上传时，网站后台发现是cer文件，就不会进行限制

再次上传后弹出提示：

请选择要上传的文件，我们分明已经进行上传了，这时候思考可能是文件并没有上传成功，原因可能是文件中有内容被waf之类的防护措施过滤了。那么我们需要对木马进行修改。

将request获取参数直接赋值给play变量，在本例中，waf没有对变量内的内容进行审核过滤。

修改后的cer文件可以上传成功：

直接访问文件，发现文件确实已经被中间件解析：

使用菜刀连接这个文件的地址

http://120.203.13.75:8002/UploadFiles/2018825164441340.cer

因为形参名为tjxssqaq，所以在菜刀中我们需要指定为tjxssqaq。

至此，成功连接至网站后台目录

在目录下翻找发现flag.txt文件，成功获取flag