0x00
环境:Windows
工具:中国菜刀
0x01
进入靶场环境,然后根据解题思路的提示尝试上传各种格式的文件,发现可以上传png和txt,asp和php无法上传,应该是对这两个格式有过滤机制,而且注意到了网站的好像使用asp写的
0x02
写一个txt格式的文本文件,在里面写入一段asp一句话木马(这里好像不是很完整的过滤机制,直接把txt的后缀改成png也可以上传成功,以前听过什么文件格式的特征数字)
000.png
关于构造木马文件还可以使用Windows下的cmd命令copy去将一个正常的图片与木马文件拼接法来构造
QQ截图20180909165301.png
0x03
启动burp suite修改文件上传的路径,有个PATH关键字,比较像是文件上传后要存入的路径,尝试修改发现上传成功后的反馈是对的,提示的上传的上传路径跟之前尝试的不一样了
21.png
22.png
0x04
1111.png
24.png
0x05
成功连接就可以看到提示key的asp文件
23.png
tips:关于菜刀的使用不是很熟悉,发现每次连接都是之前的网站,这其中是因为菜刀的缓存机制,要手动重置缓存库,否则每次都是显示的是之前的文件目录树,点左上角就可以看到重置缓存库
www.png
这题好像利用的ISS6.0的文件目录解析漏洞,关于为什么知道是ISS6.0也是看了其他人的评论才知道的
IIS 5.x/6.0解析漏洞
IIS 6.0解析利用方法有两种
1.目录解析
/xx.asp/xx.jpg
2.文件解析
wooyun.asp;.jpg
第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。
例如创建目录 wooyun.asp,那么
/wooyun.asp/1.jpg
将被当作asp文件来执行。假设黑阔可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名都能拿shell了。
第二种,在IIS6.0下,分号后面的不被解析,也就是说
wooyun.asp;.jpg
会被服务器看成是wooyun.asp还有IIS6.0 默认的可执行文件除了asp还包含这三种
/wooyun.asa
/wooyun.cer
/wooyun.cdx
网友评论