题解
vlhub给了我们这样的网页
测试发现只不能提交.php文件,我们将一句话木马<?php phpinfo(); ?>写进1.txt,重命名为1.jpg,然后上传,这个过程burp抓包,将filename从"1.jpg"改为"1.jpg "并forward,上传成功~服务器存着一个叫"1.jpg "的非图片文件.
在浏览器输入62.234.14.252:8080/uploadfiles/1.jpgaa.php并抓包,
然后Forward,漏洞利用成功:
我的服务器是nginx1.20,比较新,上述漏洞未能成功显示phpinfo();显示如下:
踩坑点及深入挖掘原理
-
成功上传1.jpg[0x20]后,访问http://62.234.14.252:8080/uploadfiles/1.jpg显示如下
因为服务器上存的是1.jpg[0x20],而浏览器输入62.234.14.252:8080/uploadfiles/1.jpg[0x20]实际访问的还是62.234.14.252:8080/uploadfiles/1.jpg (对,浏览器会过滤忽略掉url开头结尾的空格),所以404了。
-
假设我们上传的就是1.jpg,文件名不带空格,然后我们访问62.234.14.252:8080/uploadfiles/1.jpg,这个访问过程无法被FoxyProxy和burp抓包,可能是因为纯图片不是报文不在其业务范围的缘故。
解决如何即访问1.jpg[0x20]又能让burp抓到包?:
访问http://62.234.14.252:8080/uploadfiles/1.jpgaa.php,违背了纯图片就能被抓包了。然后用burp在底层将aa修改为
[0x20][0x00]就能访问1.jpg[0x20]了 -
官方教程教收尾阶段访问
http://your-ip:8080/uploadfiles/1.jpg[0x20][0x00].php,我傻乎乎的尝试在浏览器输入带[]的、不带[]的、[0x20]改写而成空格的、[0x00]改写不成空,都显示404了。后来才知道要去burp去修改报文的十六进制底层,即访问http://62.234.14.252:8080/uploadfiles/1.jpgaa.php,其中aa是可以留的占位符,a在底层对应ascii的十六进制61,将[61][61]改成[20][00],其中20是空格,00是空的ascii。 -
这里应该是用到了0x00截断原理了,具体原理是 系统在对文件名的读取时,如果遇到0x00,就会认为读取已结束。这个常用在对文件类型名的绕过上。还不止这个原理。
-
当Nginx得到一个用户请求时,首先对url进行解析,进行正则匹配,如果匹配到以.php后缀结尾的文件名(即http://62.234.14.252:8080/uploadfiles/1.jpg \0.php),会将请求的PHP文件交给PHP-CGI去解析。
其中处理模块如下:location ~ \.php$ { root html; include fastcgi_params; fastcgi_pass IP:9000; fastcgi_index index.php; fastcgi_param SCRIPT_FILENAME /var/www/html$fastcgi_script_name; fastcgi_param DOCUMENT_ROOT /var/www/html; }
以.php结尾的文件都会交给该模块处理,其中fastcgi_pass就是Nginx与PHP-FPM之间的媒介,通过ip+port的方式将请求转发给PHP解释器。但是我们有代码的文件它叫’1.jpg ‘啊,不叫'1.php'不叫'1.jpg php'不叫'1.jpgphp',所以我们利用0x00的阶段原理,用0x00将'1.jpg '和.php分隔开。http://62.234.14.252:8080/uploadfiles/1.jpg \0.php通过.php进入这个Location块;但进入后,Nginx却因0x00隔断而错误地认为请求的文件是
1.gif[0x20],就将'1.gif '交付PHP-CGI去解析(就设置其为SCRIPT_FILENAME
RichardjaG
Эта статья предлагает уникальную подборку занимательных фактов и необычных историй, которые вы, возможно, не знали. Мы постараемся вдохновить ваше воображение и разнообразить ваш кругозор, погружая вас в мир, полный интересных открытий. Читайте и открывайте для себя новое!
Это стоит прочитать полностью – https://maygiattham.com/san-pham/ban-hut-bui-cua-may-hut-bui-30l
KennethGof
Hello guys,
if you are searching for a new online casino,
I can share with you some cool options.
These sites have bonuses,
quick withdrawals, and a huge choice of games.
See what’s inside: https://images.google.com.au/url?q=https://rentry.co/daadooaz
Best of luck )
KennethGof
Hello mates,
if you are looking for a reliable online casino,
I can recommend some cool options.
These casinos have special rewards,
secure payments, and endless entertainment.
See what’s inside: https://telegra.ph/Nv-Casino-Bonus-01-31-23
Good luck )
KennethGof
Hello guys,
if you are looking for a fresh gaming platform,
I can share with you some great options.
These platforms have bonuses,
secure payments, and endless entertainment.
Take a look: https://rentry.co/wueks7kz
Good luck )
StephenHom
Hi there, this weekend is good designed for me, for the reason that this time i am reading this great educational article here at my residence.
<a href=https://globalnews.ca/content/11654441/best-online-casinos-in-canada/>adult xxx video porn site xxx sex video</a>
Cveti nedorogo_otmn
самые дешевые букеты в москве <a href=cveti-nederogo.ru>cveti-nederogo.ru</a> .
MorganRek
Когда острые угрозы исключены, программа стартует дома. Пациент получает понятную карту действий, близкие — короткие окна обратной связи, врач — чистую «картинку» для тонкой настройки. Мы просим сообщать факты, а не эмоции: минуты до засыпания, число пробуждений, объём тёплой воды малыми глотками, пульс к вечеру, переносимость мягкой пищи, ясность головы утром.
Получить больше информации – <a href=https://vyvod-iz-zapoya-saratov0.ru/>вывод из запоя клиника саратов</a>
Scottjax
Команда «КарелМед Центра» объединяет наркологов, психиатров, реаниматологов, клинических психологов, специалистов по реабилитации и социальному сопровождению. Мы работаем без очередей и навязчивых формальностей, а логистика визита, оформление в стационар и коммуникации с родственниками выстроены бережно: конфиденциальные записи, немаркированные выезды, отдельный вход и нейтральная терминология в документах. Вы получаете не только купирование абстиненции и детоксикацию, но и системную работу с триггерами, привычками и межличностными конфликтами — тем, что часто возвращает к употреблению даже после «идеальных капельниц».
Узнать больше – http://narkologicheskaya-klinika-petrozavodsk0.ru/narkolog-petrozavodsk-otzyvy/
AnthonySwima
В данном тексте собраны разнообразные случайные сведения и не вполне определённые идеи, которые могут вызвать интерес. Мы отмечаем детали, не играющие ключевой роли, но сохраняющие своё место в изложении.
Подробнее читать – <a href=https://rostov-narkologiya.ru/uslugi-ot-narkomanii/mefedronovaya-zavisimost/>плитка для ванной комнаты</a>
RichardjaG
Эта статья предлагает уникальную подборку занимательных фактов и необычных историй, которые вы, возможно, не знали. Мы постараемся вдохновить ваше воображение и разнообразить ваш кругозор, погружая вас в мир, полный интересных открытий. Читайте и открывайте для себя новое!
Это стоит прочитать полностью – https://apolin.org/bertemu-jokowi-pm-india-janji-beri-treatment-yang-fair-untuk-sawit-indonesia