Shikata Ga Nai

Private? There is no such things.

Web shell upload via extension blacklist bypassをやってみた

Hello there, ('ω')ノ

 

拡張ブラックリストバイパスを介したWebシェルのアップロードを。

まずは、ログインして。

 

f:id:ThisIsOne:20220101180241p:plain

 

以前、作成した悪意のあるPHPファイルをアップロードして。

 

f:id:ThisIsOne:20220101180310p:plain

 

応答は、拡張子が.phpのファイルをアップロードすることを許可しないらしく。

 

f:id:ThisIsOne:20220101180339p:plain

 

該当するリクエストをリピータを使って、下記のように変更してSendすると。

 Content-Disposition: form-data; name="avatar"; filename="exploit.php%00jpg"
 Content-Type: application/x-httpd-php

 

f:id:ThisIsOne:20220101190237p:plain


JPGファイルを許されているようで、アップロードできて。

 

f:id:ThisIsOne:20220101181647p:plain

 

ただ、アップロードされたPHPファイルの実行はできず。

 https://acf71f221fb8828dc01e54fd00f000ac.web-security-academy.net/files/avatars/exploit.php

 

f:id:ThisIsOne:20220101181814p:plain

 

ファイルは、アップロードできるようなので、

『.l33t』をPHPとして実行するために下記のようにファイルを作成して。

 

.htaccess

 AddType application/x-httpd-php .l33t

 

f:id:ThisIsOne:20220101185437p:plain

 

アップロードすると。

 

f:id:ThisIsOne:20220101185734p:plain

 

アップロードできたようで。

 

f:id:ThisIsOne:20220101184426p:plain

 

リピータで、リクエストのファイル名とMIMEタイプを変更してSendすると。

 Content-Disposition: form-data; name="avatar"; filename="exploit.l33t"
 Content-Type: application/x-httpd-php

 

f:id:ThisIsOne:20220101185326p:plain

 

アップロードされたファイルの位置を確認して。

 

f:id:ThisIsOne:20220101185257p:plain

 

直接、URLにアクセスして。

 https://acf71f221fb8828dc01e54fd00f000ac.web-security-academy.net/files/avatars/exploit.l33t

 

f:id:ThisIsOne:20220101185203p:plain

 

下記のコードを入力すると。

 iCTyTkwSFpmdKcR2SqTBb7q7orQgt9aJ

 

f:id:ThisIsOne:20220101190011p:plain

 

クリアできて。

 

f:id:ThisIsOne:20220101190024p:plain

 

Best regards, (^^ゞ