墨者学院-WebShell文件上传分析溯源(第2题)

靶场地址:
https://www.mozhe.cn/bug/detail/TzRsdjFSYW9HQlA2OFdGbXo0KzBUdz09bW96aGUmozhe

使用DirBuster扫描到目录/admin/upload.php
访问一下,如下图提示,然后跳转到upload2.php,嗯,感觉upload1.php很有猫腻


在burp suite拦截,查看,发现upload1.php有上传代码


回去浏览器禁用js,再次打开,发现上传页面


上传一句话木马,只告诉我上传成功,没有发现路径


折腾很久,在cookie中发现一处似乎可读源码的漏洞,uploadmd5=verify/1ac4235578259ac8.txt,value的值为1ac4235578259ac8


页面访问一下该文件,发现文件内容与value的值一致,推测是将文件内容填充到了value的值中


修改cookies,uploadmd5=upload_file.php,提交,读取到了源码,上传路径为$path.$time.'_'.$verify.'_'.$file1

重新上传并拦截,查看数据包中的值



当前日期为20190717,verify为1ac4235578259ac8,得到上传路径为uploadfile/20190717_1ac4235578259ac8_cmd.php,打开菜刀,路径为/admin/uploadfile/20190717_1ac4235578259ac8_cmd.php,找到key