- 實驗環境
- 操作機:
Windows XP - 目標機:
Windows 2003
- 操作機:
- 目標網址:
www.test.com - 實驗工具:
中國菜刀BurpSuite
本課程帶領大家學習通過空字節截斷,繞過驗證,獲取WebShell。使大家親身驗證繞過上傳驗證的可行性,從而提高自身的安全防禦意識。
- 上傳正常圖片和WEBShell
- 截斷目錄繞過上傳檢測
- 獲取WEBShell權限
- 防禦方案
上傳正常圖片和WEBShell
準備一張普通的圖片,使用*.jpg在電腦上進行搜索,可以看到很多圖片,複製一張圖片放到桌面上,改名爲tupian.jpg。
打開上傳地址,選取上傳圖片。
小i提示:
上傳地址就是可以上傳文件的地方
本次實驗用的測試網址
http://www.test.com作爲目標網站
上傳成功後,觀察返回的頁面信息。
小i提示:
觀察紅字部分(上傳是否成功,成功爲 Upload Successful 失敗這一行會顯示失敗信息)
觀察藍字部分(上傳成功後文件的路徑)
這裏服務器端準備的是PHP環境,需要使用PHP的一句話,接着我們來製作一句話,新建一個空文本文檔,將php的一句話寫入到文本中,修改文件名爲yijuhua.php並保存到桌面(一句話中$_POST[‘這裏是密碼’],本例中我們以
1 爲密碼)。
小i提示:
- 一句話`是一種常見的網站後門,短小精悍,而且功能強大,隱蔽性非常好,在滲透測試過程中始終扮演着強大的作用。
- 不同的環境需要選取與環境匹配的
一句話
上傳PHP文件,發現提示錯誤,得出結論PHP文件被禁止上傳。
截斷目錄繞過上傳檢測
首先打開BurpLoader,選擇 Proxy->Options ,設置BurpLoader代理地址,默認爲127.0.0.1、端口:8080。
接着修改IE的代理設置,修改代理地址以及端口(設置與在BurpLoader中設置的代理地址相同:127.0.0.1、端口:8080)。
小i提示:
- 不同瀏覽器設置代理的方法不相同, 此處我們以IE瀏覽器爲例,首先點擊右上角的
工具-internet選項->連接->局域網設置->代理服務器勾選並設置。
我們再打開BurpLoader抓包,進行截斷瀏覽器給服務器發送的數據包,Proxy->Intercept 點擊
intercept off 改爲intercept on,截斷的數據包將在關閉抓包的時候發送給服務端。
我們再將PHP文件的尾綴改爲.jpg,filename後面的信息是我們本地的地址,Content-Disposition : from-data ; name=”path”後面一行uploadimg是我們保存的地址。
現在我們將uploadimg改爲uploadimg/1.php .jpg ,接着我們來到 Proxy->intercept->Hex找到1.php .jpg這個被修改過的代碼,找到同一行的數字20,改爲00 按一下回車,返回。
小i知識點:
- 20(也就是空格字符的16進制)改成00(也就是一個截斷字符的16進制)這樣以來。截斷字符後面的都會被截斷,也就是忽略掉了,所以
uploadimg/1.php .jpg就變成了uploadimg/1.php達到了我們上傳PHP文件的目的。
返回Raw,看到uploadimg/1.php .jpg變成uploadimg/1.php□.jpg,原本的文件服務器保存路徑從uploadimg/yijuhua.jpg變爲uploadimg/1.php。
關閉抓包(點擊intercept on ->intercept off),上傳數據,查看瀏覽器發現上傳成功,複製上傳框下面的信息,捨棄掉後面的.jpg(例如:uploadimg\1.php );粘貼複製到網站地址後面,從而構造訪問地址(例如:http://www.test.com\uploadimg\1.php ),並複製訪問地址。
獲取WEBShell權限
打開中國菜刀軟件並填入複製的訪問地址,填入你設定的密碼,之前我們在“一句話”中設置的密碼是1,選擇腳本類型爲PHP,單擊添加按鈕,就會看到菜刀上出現一行信息,最後我們雙擊這條信息後,就可以看到目標網站的目錄,這樣我們就成功獲取到目標網站的WEBShell權限。
小i知識點:
- 中國菜刀是一款專業的網站管理軟件,用途廣泛,使用方便,小巧實用。只要支持動態腳本的網站,都可以用中國菜刀與一句話協作來進行管理
防禦方案
1.客戶端檢測,使用JS對上傳圖片檢測,包括文件大小、文件擴展名、文件類型等
2.服務端檢測,對文件大小、文件路徑、文件擴展名、文件類型、文件內容檢測,對文件重命名
3.其他限制,服務器端上傳目錄設置不可執行權限
