1.通过dirsearch可以摸清结构,方便我们规划攻击方式
2.查看网站用的什么服务器,.htaccess只能用于Apache服务器,所以配置文件要上传.user.ini,刚好上传文件所在目录也有.php文件可以包含
3.先上传一个图片后缀的文件用于绕过前端,没有内容也行,用bp抓包
4.将filename改为.user.ini,再post传入文件内容,.user.ini文件会配置当前目录中的php文件
图片中auto_prepend_file=1.png的意思是在当前目录所有php文件顶部插入1.png的内容
#只影响php文件auto_prepend_file:在文件前插入 auto_append_file:在文件最后插入5.修改完成后Forward,显示上传成功
再上传文件,同第2步
6.测试过滤了那些字符,手动测试效率会很慢,先搞一个占位符
7.选中后Chrl+I,送到Intruder模块并自动添加好了payload位置
8.进入payload模块,加载fuzz.txt文件,要取消勾选url编码,不然影响测试
fuzz.txt文件的内容为所有字符,要获取可以执行下面的脚本,不需要可以直接看第九步
importstringwithopen("fuzz.txt","w")asfile:forcinstring.printable:file.write(c+'\n')#也可以在fuzz.txt文件中加如flag,php等关键字,顺便测试9.筛选长度,得到过滤字符,如下
10.括号都没了,但是可以进行日志文件包含,nginx的默认日志文件为/var/log/nginx/access.log,log被过滤了,但是可以用‘.’连接
上传木马为,<?=include ‘/var/l’.‘og/nginx/access.l’.‘og’?>
(当然也可以<?=include"ph".“p://filter/convert.base64-encode/resource=…/flag.p”.“hp”?>,更简单)
11.访问upload文件夹中的index.php并在User-Agent中添加php语句,Excute直到得到flag
