【THM-课程内容答案】:Web Hacking Fundamentals-Upload Vulnerabilities-Remote Code Execution

覆盖服务器上存在的文件很好。这对维护网站的人来说很麻烦，可能会导致一些漏洞，但让我们更进一步；让我们去RCE吧！

远程代码执行（顾名思义）将允许我们在web服务器上任意执行代码。虽然这可能是一个低权限的web用户帐户（例如Linux服务器上的www数据），但它仍然是一个极其严重的漏洞。通过web应用程序中的上传漏洞进行的远程代码执行往往会被上传用与网站后端相同的语言（或服务器理解并将执行的另一种语言）编写的程序所利用。传统上，这将是PHP，然而，在最近，其他后端语言变得越来越普遍（Python Django和Node.js形式的Javascript是主要的例子）。值得注意的是，在路由应用程序中（即以编程方式定义路由而不是映射到文件系统的应用程序），这种攻击方法变得更加复杂，发生的可能性也大大降低。大多数现代web框架都是以编程方式路由的。

在利用文件上传漏洞时，有两种基本方法可以在Web服务器上实现RCE：webshell和反向/绑定shell。实际上，一个功能齐全的反向/绑定shell是攻击者的理想目标；然而，webshell可能是唯一可用的选项（例如，如果对上传施加了文件长度限制，或者防火墙规则阻止任何基于网络的shell）。我们将依次查看这些内容。作为一种通用方法，我们希望上传一种或另一种shell，然后激活它，如果服务器允许的话，可以直接导航到文件（限制不足的非路由应用程序），或者以其他方式强制Web应用程序为我们运行脚本（路由应用程序中必需）。

Web Shell：

假设我们找到了一个带有上传表单的网页：

我们接下来该何去何从？好吧，让我们从gobuster扫描开始：

看起来我们这里有两个目录——uploads和assets。其中，我们上传的任何文件似乎都会被放置在“uploads”目录中。我们将首先尝试上传一个合法的图像文件。在这里，我从上一个任务中选择了我们可爱的狗的照片：

现在，如果我们去http://demo.uploadvulns.thm/uploads我们应该看到小狗的照片已经上传了！

好的，我们可以上传图片。现在让我们试试webshell。

事实上，我们知道这个Web服务器是用PHP后端运行的，所以我们将直接跳到创建和上传shell。在现实生活中，我们可能需要做更多的枚举。

一个简单的webshell通过接收参数并将其作为系统命令执行来工作。在PHP中，这样做的语法是：

<?php
echo system($_GET["cmd"]);
?>

此代码接受GET参数并将其作为系统命令执行。然后，它将输出回声输出到屏幕上。

让我们尝试将其上传到网站，然后使用它显示我们的当前用户和当前目录的内容：

成功！

我们现在可以使用这个shell从系统中读取文件，或者从这里升级到反弹shell。现在我们有了RCE。请注意，使用webshell时，通过查看页面的源代码通常更容易查看输出。这大大改进了输出的格式。

反弹shell：

上传反向shell的过程几乎与上传webshell的过程相同，因此本节将更短。我们将使用无处不在的Pentest Monkey反弹shell，它在Kali Linux上默认提供，但也可以在此处下载（raw.githubusercontent.com/pentestmonkey/php-reverse-shell/master/php-reverse-shell.php）。您需要编辑shell的第49行。目前，它将显示$ip='127.0.0.1'；使用前需要将127.0.0.1更改为您的TryHackMe tun0 IP地址，该地址可以在访问页面上找到。编辑完shell后，我们需要做的下一件事是启动一个Netcat侦听器来接收连接。nc-lvnp 1234：

现在，让我们上传shell，然后通过导航到来激活它http://demo.uploadvulns.thm/uploads/shell.php.shell的名称是您自己定义的。

网站应该挂起，无法正常加载——但是，如果我们切换回终端，我们就会发现反弹shell已成功运行，我们已获取靶机的shell权限！

我们再次获得了此Web服务器上的RCE。从这里开始，我们希望稳定我们的shell并提升我们的特权，但这些是另一次的任务。现在，是时候你自己试试了！

【习题&答案】

导航到shell.uploadvulns.htm并完成此任务的问题。

使用上面截图中的语法在网站上运行Gobuster扫描。它可能用于上传的目录是什么？

（注意：这是一个好习惯，在接下来的任务中会对你很有帮助……）

Run a Gobuster scan on the website using the syntax from the screenshot above. What directory looks like it might be used for uploads?

(N.B. This is a good habit to get into, and will serve you well in the upcoming tasks...)

/resources

【思路】：直接运行gobuster扫描网站根目录，路径字典路径为/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

在机器上获取web shell或反向shell。服务器/var/www/目录中的标志是什么？ Get either a web shell or a reverse shell on the machine. What's the flag in the /var/www/ directory of the server?

THM{YWFhY2U3ZGI4N2QxNmQzZjk0YjgzZDZk}

【思路】：

1- 使用Pentest Monkey反弹shell，相关内容直接根据课程内容中链接获取，并生成php反弹shell文件。

2- 修改反弹shell文件中，IP以及端口信息，IP为攻击机IP地址，端口保持默认1234。

3- 在攻击机上通过netcat启动监听。

4- 将反弹shell文件通过网站的上传功能进行上传，并确认已上传成功。

5- 通过浏览器访问对应url，后缀为test.php。

6- 发现已成功获取shell权限，测试命令执行效果；