黑客破解ctcms任意文件上传

个人中心-资料设置-资料修改-头像处漏洞证明:选择任意图片上传,拦截保存修改请求包:修改数据包中内容:将filename设置为x.html参数内容为:<…

傻狗 系统漏洞部位:用户中心 - 统计数据设定 - 统计数据改动 - 总公司 系统漏洞证实: 挑选一切图象发送并阻拦储存恳求包:

改动包的內容: 将文件夹名称设定为x.html语言 主要参数內容为:< html语言>< head>< imgsrc=x onerror=alert

(1)></head></html语言>

删掉全部恳求后,头像图片图象的网页地址已更改成不久发送的文档的网页地址:

浏览头像图片文档网页地址,将实行Js编码。 可是,当尝试发送1个Python文档时,我发现了网络服务器后端开发限定了,并限定了Python,jsp和asp的动态性脚本制作文档。

猜猜后端开发应用信用黑名单来限定文件上传。信用黑名单限定还可以根据别的方法绕开。试着根据.htaccess将别的尾缀文档设成Python: 

可是,发觉网络服务器将强制性重新命名该文档。 apache网络服务器没法分析xxxx.htaccess。试着根据./收费将任意文件夹名称变换为文件目录也会不成功。 我试着了别的的物品,例如“%03”,“。”,“;”。这些。

可是根据Windows文档流作用绕开,取得成功发送了Python文档,获得了shell: 发送1个含有尾缀的基本Python文档,后跟(: $ DATA)

再看下头像图片网页地址,寻找尾缀为.Python的文档: $ DATA: 浏览电脑浏览器中的头像图片网页地址,删掉尾缀: $ DATA 发送的Python指令已取得成功实行。

参照范畴训练网页地址:htpp://github.Com/LandGrey/upload-labs-writeup 我只检测了一切上传文件,fengx取得成功获得,谢谢堂兄出示的念头,学得了。 维修提议: 网络服务器应设定可文件上传的白名单,白名单可以防止一切上传文件。