春秋云境靶场CVE-2022-25578漏洞复现(利用htaccess文件进行任意文件上传)

文章目录

  • 前言
  • 一、CVE-2022-25578靶场概述
  • 二、CVE-2022-25578复现需要知道的知识点
    • 1、什么是htaccess文件
    • 2、上传htaccess文件的条件是什么?
    • 3、htaccess文件的作用是什么?
  • 三、CVE-2022-32991漏洞复现
    • 1、信息收集
    • 2、找上传点
    • 3、上传后蚁剑连接getshell
  • 总结


前言

此文章只用于学习和反思巩固文件上传漏洞知识,禁止用于做非法攻击。注意靶场是可以练习的平台,不能随意去尚未授权的网站做渗透测试!!!


一、CVE-2022-25578靶场概述

Taocms v3.0.2 允许攻击者通过任意编辑 .htaccess 文件来执行代码注入。
靶场地址在春秋云境官网https://yunjing.ichunqiu.com/
在这里插入图片描述

二、CVE-2022-25578复现需要知道的知识点

  • 1、什么是htaccess文件?
  • 2、上传htaccess文件的条件是什么?
  • 3、htaccess文件的作用是什么?

1、什么是htaccess文件

htaccess文件(或者分布式配置文件),全称是Hypertext Access(超文本入口)。提供了针对目录改变配置的方法,
即,在一个特定的文档目录中放置一个包含一个或多个指令的文件,
以作用于此目录及其所有子目录。作为用户,所能使用的命令受到限制。管理员可以通过Apache的AllowOverride指令来设置。

2、上传htaccess文件的条件是什么?

  • 1、首先要有上传文件的地方,而且没有过滤后缀名htaccess
  • 2、而且对方apache服务器得开启htaccess文件,需要在httpd.conf文件配置。
  • 3、并且还要有特定的环境

3、htaccess文件的作用是什么?

htaccess文件简单来说是会把此目录及其所有子目录的所有文件当作php代码执行。(这是取决于htaccess文件内容是什么,这里我只是举了其中一个情况,不过这种情况伤文件,可能把正常文件也当作php文件,导致网站奔溃也是有可能的)


三、CVE-2022-32991漏洞复现

  • 1、信息收集
  • 2、找上传点
  • 3、上传后蚁剑连接getshell

1、信息收集

打开网站,发现什么都没有搜刮一波发现没有文件上传点
在这里插入图片描述
但是我们知道这是一个taocms后台管理系统,我们上网搜一下taocms之前有没有报过漏洞,找一找taocms有没有后台登录地址,如果没办法就要想办法登录后台管理系统。
这里网上搜了一下搜到了后台默认账号密码,以及后台地址常用是/admin下。(如图所示)
在这里插入图片描述

我们实在不行也可以利用御剑找一找有没有其他隐藏路径的网站,找到了admin路径,点开发现就是后台网站。(如图所示)
在这里插入图片描述
在这里插入图片描述
我们试一试默认账号密码能不能登陆,如果不行还得用bp弱口令爆破密码
发现默认密码登录成功
在这里插入图片描述

2、找上传点

现在就找有没有上传的地方了,经过查找发现添加文章可以上传图片,
还有文件管理好像也能上传文件。但是发现点新建文件页面是空白,貌似不太行。但是发现文件管理有htaccess文件我们可以修改它为可以把png图片识别为php代码执行。这里我修改是把png文件当php代码解析。(如图所示)
在这里插入图片描述
在这里插入图片描述

这里我保存htaccess文件,建议不要用这个代码,可能会把当前目录下的正常文件搞坏,然后后台网站会异常。(如图所示)
在这里插入图片描述
接下来就是制作图片马了
这里我演示window情况
先搞一个正常图片,这里我搞一张shell.png图片,然后在搞一个1.php文件上面写上一句话木马(如图所示)
在这里插入图片描述
然后打开cmd
在这里插入图片描述
然后就发现桌面多了一个一模一样的图片,其实图片里面有木马了。(这里我生成到桌面了,好操作)
在这里插入图片描述
因为刚刚说到在文件管理貌似新建不了文件,那我们去添加文章那上传文件吧在这里插入图片描述
上传图片马
在这里插入图片描述
文章成功添加,然后点编辑文章看到刚刚上传的图片马的保存的绝对路径
在这里插入图片描述

3、上传后蚁剑连接getshell

现在连接蚁剑
这里我们先访问一遍图片马地址
在这里插入图片描述
乱码是正常的,因为当作php解析了,我们复制图片马网址然后去蚁剑连接在这里插入图片描述
由于我写的一句话木马post参数是shell,自然连接密码也就是shell了
这里记得勾选base64编码
在这里插入图片描述

在这里插入图片描述
找到flag文件,拿到flag

总结

这一关是利用htaccess文件进行任意文件上传,条件非常严格,得要特定环境。这个漏洞恰好htaccess文件可以编辑,而且其文件也和picture文件同一个目录下,导致我们可以利用htaccess文件上传webshell去getshell了。此文章是小白自己为了巩固文件上传漏洞而写的,大佬路过请多指教!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/151003.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

基于模拟退火算法的TSP问题建模求解(Python)

基于模拟退火算法的TSP问题建模求解(Python) 一、模拟退火算法(Simulated Annealing Algorithm,SAA)工程背景模拟退火算法用于优化问题求解原理 二、旅行商问题(Travelling salesman problem,TS…

计算机毕业设计选题推荐-二手交易跳蚤市场微信小程序/安卓APP-项目实战

✨作者主页:IT毕设梦工厂✨ 个人简介:曾从事计算机专业培训教学,擅长Java、Python、微信小程序、Golang、安卓Android等项目实战。接项目定制开发、代码讲解、答辩教学、文档编写、降重等。 ☑文末获取源码☑ 精彩专栏推荐⬇⬇⬇ Java项目 Py…

EMNLP 2023 | DeepMind提出大模型In-Context Learning的可解释理论框架

论文题目:In-Context Learning Creates Task Vectors 论文链接:https://arxiv.org/abs/2310.15916 01. 引言 此外,作者也提到本文的方法与软提示(soft-prompt)[1]方法类似,soft-prompt也是通过调整大模型内…

Nginx配置开启HTTPS

获取证书文件 Nginx 开启SSL server {listen 443 default ssl;server_name localhost;#charset koi8-r;#access_log logs/host.access.log main;proxy_set_header Host $host;ssl_certificate /usr/local/nginx/cert/server.pem;ssl_certificate_key /usr/local/ngin…

java时间类

一、java时间类为什么这么复杂? java的时间类非常复杂,这是由于jdk1.0到jdk1.1的时间类设计存在缺陷,导致使用不方便,线程不安全等问题,所以在jdk1.8,java又重新加入了一些时间类替换之前的时间类,但是jd…

ExoPlayer架构详解与源码分析(8)——Loader

系列文章目录 ExoPlayer架构详解与源码分析(1)——前言 ExoPlayer架构详解与源码分析(2)——Player ExoPlayer架构详解与源码分析(3)——Timeline ExoPlayer架构详解与源码分析(4)—…

DNS服务器典型配置

文章目录 安装主程序bind和安全插件bind-root修改主配置文件/etc/named.conf正向解析 安装主程序bind和安全插件bind-root yum install bind-chroot修改主配置文件/etc/named.conf vim /etc/named.conf将listen-on和allow-query的ip或域名换成any 表示为服务器所有的IP地址启…

多svn仓库一键更新脚本分享

之前分享过多git仓库一键更新脚本,本期就分享下svn仓库的一键更新脚本 1、首先需要设置svn为可执行命令行 打开SVN安装程序,选择modify,然后点击 command client tools,安装命令行工具 2、update脚本 echo 开始更新SVN目录&…

【Android 标题文字居中 快速实现】

背景: Android App系统默认setTitle左起展示(图左),IOS App默认居中展示(图右)。现在美工设计 在Android中标题同样居中显示。 解决: 方案一:(传统方式,比较繁琐) 设置ToolBar样式,内嵌TextView来展示,具…

网络安全准入技术之MAC VLAN

网络准入控制作为主要保障企业网络基础设施的安全的措施,特别是对于中大型企业来说,终端类型多样数量激增、终端管理任务重难度大、成本高。 在这样的一个大背景下,拥有更灵活的动态识别、认证、访问控制等成为了企业网络安全的最核心诉求之…

保姆级教程——pytest【入门篇】

📢专注于分享软件测试干货内容,欢迎点赞 👍 收藏 ⭐留言 📝 如有错误敬请指正!📢交流讨论:欢迎加入我们一起学习!📢资源分享:耗时200小时精选的「软件测试」资…

【libGDX】初识libGDX

1 前言 libGDX 是一个开源且跨平台的 Java 游戏开发框架,于 2010 年 3 月 11 日推出 0.1 版本,它通过 OpenGL ES 2.0/3.0 渲染图像,支持 Windows、Linux、macOS、Android、iOS、Web 等平台,提供了统一的 API,用户只需要…

数据结构—LinkedList与链表

目录 一、链表 1. 链表的概念及结构 1. 单向或者双向 2. 带头或者不带头 3. 循环或者非循环 二.LinkedList的使用 1.LinkedList概念及结构 2. LinkedList的构造 3. LinkedList的方法 三. ArrayList和LinkedList的区别 一、链表 1. 链表的概念及结构 链表是一种 物理…

开启创造力之门:掌握Vue中Slot插槽的使用技巧与灵感

🎬 江城开朗的豌豆:个人主页 🔥 个人专栏 :《 VUE 》 《 javaScript 》 📝 个人网站 :《 江城开朗的豌豆🫛 》 ⛺️ 生活的理想,就是为了理想的生活 ! 目录 ⭐ 专栏简介 📘 文章引言 一、s…

【Ubuntu】设置永不息屏与安装 dconf-editor

方式一、GUI界面进行设置 No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 20.04.6 LTS Release: 20.04 Codename: focal打开 Ubuntu 桌面环境的设置菜单。你可以通过点击屏幕右上角的系统菜单,然后选择设置。在设置菜单中,…

弱类型和强类型自定义UDAF函数

目录 使用自带的avg函数弱类型自定义UDAF函数(AVG)强类型自定义UDAF函数(AVG) 弱类型:3.x过期 2.x有 强类型:3.x 2.x没有 使用自带的avg函数 import org.apache.spark.rdd.RDD import org.apache.spark.sql.{DataFrame, SparkSession}object UserDefine…

GD32_ADC采样+DMA多通道扫描传输

GD32_ADC采样DMA多通道扫描传输 文章目录 GD32_ADC采样DMA多通道扫描传输前言一、资源介绍二、原理1.ADC连续扫描模式2.DMA传输3.ADC内部通道 三、配置1.ADC配置2.DMA配置3.注意事项 四、计算1.分压转换2.数据转换 前言 <1>、硬件平台&#xff1a;可运行软件程序的GD32单…

【计算思维】少儿编程蓝桥杯青少组计算思维题考试真题及解析B

STEMA考试-计算思维-U8级(样题) 1.浩浩的左⼿边是&#xff08; &#xff09;。 A.兰兰 B.⻉⻉ C.⻘⻘ D.浩浩 2.2时30分&#xff0c;钟⾯上时针和分针形成的⻆是什么⻆&#xff1f;&#xff08; &#xff09; A.钝⻆ B.锐⻆ C.直⻆ D.平⻆ 3.下⾯是⼀年级同学最喜欢的《⻄游记》…

人工智能基础_机器学习037_多项式回归升维实战4_使用随机梯度下降模型_对天猫双十一销量数据进行预测_拟合---人工智能工作笔记0077

上一节我们使用线性回归模型最终拟合了双十一天猫销量数据,升维后的数据. 我们使用SGDRegressor的时候,随机梯度下降的时候,发现有问题, 对吧,怎么都不能拟合我们看看怎么回事现在 可以看到上面是之前的代码 上面是对数据的准备 这里我们还是修改,使用 poly=PolynomialFeatur…

nodejs+vue电影在线预定与管理系统的设计与实现-微信小程序-安卓-python-PHP-计算机毕业设计

通过软件的需求分析已经获得了系统的基本功能需求&#xff0c;根据需求&#xff0c;将电影在线预定与管理系统功能模块主要分为管理员模块。 我国各行各业的发展在信息化浪潮的推动下也在不断进步&#xff0c;尤其是电影产业&#xff0c;在人们生活水平提高的同时&#xff0c;从…