不受限制的文件上传-可能的攻击

Question

在IIS服务器+ MYSQL上进行渗透测试(练习)期间，我发现了一个不受限制的文件上载漏洞，我可以为此上载.php文件。

因此，我尝试使用passthru或exec命令上传php，但我收到了著名的响应“无法分叉.”因为，据我所知，我上传文件的文件夹具有某种安全保护，避免命令的执行。

尽管如此，我还是上传了一个.php文件，以便使用fopen、fread等命令读取示例文件，并且我已经成功地完成了它。

因此，我的问题是:为了获取任何类型的敏感信息，我可以阅读哪些特定的文件？换句话说:我可以上传一个php文件，这个文件可以显示一个文件的内容，但是我不知道我应该看什么文件。

结束问题:如果不允许上传像上面这样的shell，您是否知道无限制文件上传漏洞的其他利用方法？

Answer 1

我要查找的具体文件是：

1. php.ini
2. PHP页面
   • 这些文件很可能嵌入了用于数据库访问的凭据，或者为您提供了下一步查找的线索。

3. my.cnf
   • MySQL配置文件

4. web.config
   • IIS中可能有一些有用的设置，可以通过查看此文件来检索。

5. machine.config
   • 与web.config相同，但在机器级别。

6. 缓存文件
   • 临时文件夹中可能有一些有趣的数据。

这些都是我能想到的-一旦你开始挖掘这些文件，其他的想法可能会出现。

结束问题:如果不允许上传像上面这样的shell，您是否知道无限制文件上传漏洞的其他利用方法？

1. 您可以尝试上传将在下次重新启动时执行的文件，或者将其放置在管理员可能意外运行该文件的位置。
2. 您可以通过耗尽盒上的磁盘空间来执行DOS攻击。

Answer 2

我能想到几种可能的攻击方案.

攻击服务器的

：

如前所述，您可以使用PHP打开/读取系统上可能提供凭据的其他文件，或者将您引向其他攻击向量的方向。

即使上传漏洞将恶意文件放置在可能包含某些安全功能的特定目录中，但这并不总是阻止恶意脚本将新文件写入父目录。

您可以使用脚本查看正在执行的是谁，检查系统上其他文件夹的权限，以查看该用户是否可以写入这些文件夹。

另一个明显的攻击是通过扫描脚本和配置文件获取凭据来访问数据库。有了这个数据库，您就可以破解密码，或者将其与彩虹表进行比较，如果没有加盐的话。

如果您能够读写text服务器上的其他脚本，则可以将代码后门，希望能够以纯文本形式收集管理密码，而不必强行强制数据库中的散列密码。

攻击用户：

这种漏洞的最大关注点之一是，您可以作为服务器在服务器上执行代码。这使您可以访问该站点的用户cookie，该站点可以包含有价值的信息，可能导致被劫持的会话。

还有恶意软件被网站传播的威胁，网络钓鱼攻击，以及任何其他类型的攻击，这些攻击的目标是用户对网站的信任是合法的。

显然，有更多的方法可以用这种漏洞攻击系统。攻击的下一个阶段很大程度上将取决于您在此时所做的信息收集的结果。

虽然并不总是正确的，但通常可以安全地说，如果脚本可以由不受信任的第三个party...the系统上传，则会受到危害。你在这一点上所做的只是一个意图的问题。