一 查看标题和源码
标题中文翻译过来是:办理入住。确实也联想不到什么,但是打开靶场可以看见
显而易见是一道上传漏洞题目,也不需要看源码了(一般不会在源码上给提示)。
我们可以先上传一个普通图片试试
可以明显的看到上传文件的路径
我们再试试有没有后缀过滤
经过尝试,发现php,php3等等还有大小写都被过滤了,还有特殊后缀phtml也被过滤了。
既然有后缀过滤,那么接着可以想到.htaccess和.user.ini
这里有一个注意点 .htaccess只能在Apache(阿帕奇)服务器使用,那么我们先通过数据包看看服务器类型
可以看到Server类型是openresty,那我们只能使用.user.ini来进行绕过了
二 实践
为了方便操作,我接下来在Burpsuit中进行
先随便上传普通图片,把数据包转发到Sequence中(也是为了做到快速上传快速拿到flag)
这是图片马
这是.user.ini
写好后,就先这样在Sequence里面放着不要发送。
我尝试了很多遍,rce命令执行速度太慢成功率太低,所以我选择了中国蚁剑(成功率高一点)。
打开蚁剑,先把要访问的路径输入进去
接着我们先把burpsuit里面的两个数据包发送了(顺序随便),接着在蚁剑里面测试连接。
如果连接成功,(一定要快)赶紧添加数据,进入根目录下载flag。
本来到这里就结束了,但是我想吐槽:这个题本来没那么难,就一个常规思路,我弄了半天(真的是半天),开始我还把所有能试试的都试了(包括这个.user.ini),就是拿不到flag。接着我又去看了好多wp,按照他们的过程也还是拿不到flag(这个过程中我也发现了会删文件,但是没往深处想),后来又刷视频,有个博主提了一嘴删文件的事情,我才思路通畅了(手速要快)。
此题完。
)
