搜索
查看: 928|回复: 1

实战渗透某网站:Cookie注入+上传突破拿shell

[复制链接]

1839

主题

2255

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
11913
发表于 2015-7-22 20:04:51 | 显示全部楼层 |阅读模式
转载备份

打开目标站,惯性似的加了个'
又出现了很令人讨厌的画面!
扫了扫目录 除了后台没有什么值得利用的
于是看了看后台
看到这个后台让我想到了曾经,不多解释,都懂的!
利用Cookie注入测试,看能否成功!
猜表猜字破md5一路顺风!
接下来打开心爱的后台!
发现有备份,不多说,上传图片格式木马备份成asp文件!
然而却失败了!
只能从上传点入手!
随便上传个图片,利用burpsuite截获分析
利用00截断 失败 ,改目录也不行!小白也只会这样用 (⊙o⊙)
突然想起一种方法:利用双文件上传的方式突破上传
首先找到上传地址
打开上传地址 查看源代码!
将提交地址写入,加一条上传代码
保存,打开~
前面传图片后面跟着小马蒙混过关!~
然后却又失败了
居然前面成功了 后面没有道理会出错,换个后缀继续
exe成功,证明漏洞是存在的!
将asa改成cer继续!~
搞定了!~ 访问!~

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?Join BUC

x
过段时间可能会取消签到功能了
黑店 该用户已被删除
发表于 2015-7-24 09:15:56 | 显示全部楼层
这个可以看一下,不错姿势挺正!
您需要登录后才可以回帖 登录 | Join BUC

本版积分规则

Powered by Discuz!

© 2012-2015 Baiker Union of China.

快速回复 返回顶部 返回列表