查看原文
其他

实战文件上传之大意失荆州

NS Demon团队 乌雲安全 2022-07-19
作者:NS Demon团队,投稿。


起因:夜黑风高的晚上内卷中,某大佬发了一张图过来。

 

1. 大佬来吊我:



2. 通过一番交流,他将phpinfo给了我:



接着看了一下问题:

 


Disable_functions函数:


3. 看丑恶的嘴脸:



4. 又沟通了一下,上传点是Logo处:


5. 分析原因:可能是被拦截执行、或者是参数定义失败、又或者是马有问题,采用思路:上传一个无毒无害的php文件,里面就简单的测试能否成功,然后再传简单的执行打印的php文件,看看是否执行,再传一个冰蝎二进制动态加密+简单免杀,看能否用。

 


6. getshell成功,而且暂时未触发警报,了解到服务器对面有运维人员在看。

 

7. 得绕disable_function函数执行命令,技术有限,只会用插件。



 

开玩笑勒索一下:

8. 然后文件上传处,尝试直接传最原始一句话php,连接



点到为止,好像是没域,而且是大佬的朋友的朋友的站。


9. 不讲武德!大意失荆州!


 

沟通过后,总结一下:二进制动态加免杀估计是暂时没触发警报,后面的直接简单一句话木马蚁剑连接后,对方公司估计是接到了警报,运维人员立刻改密码,删木马,导致了网站和马都连不上去。

丑恶的嘴脸:


推荐阅读

如果有用,师傅们点个在看、赞

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存