利用Burpsuit的Repeater模块构造请求数据包
2023-02-02 13:26:36 # 漏洞挖掘

这里以通达OA 2016版的一个文件上传+文件包含漏洞为例,详细说明如何利用 Burpsuit 的 Repeater 模块构造请求数据包

通达OA是由北京通达信科科技有限公司开发的一款办公系统,攻击者可在未授权的情况下可上传图片木马文件,之后通过精心构造的请求进行文件包含,实现远程命令执行,且攻击者无须登陆认证即可完成攻击

包含漏洞的两个文件:

  1. 文件上传:webroot\ispirit\im\upload.php
  2. 文件包含:webroot\ispirit\interface\gateway.php

首先在 Reaperter 模块复制目标URL:http://192.168.227.129/ispirit/im/upload.php,右键点击Paste URL as request

继续右键点击Change request method,将GET方法改为POST方法

Send之后会显示-ERR 用户未登录

添加以下参数

右键点击Change body encoding,将 Content-Type 修改为Content-Type:multipart/form-data; boundary=XXX

PS:关于不同的 Content-Type,可以查看另一篇文章 学习HTTP请求包中的Content-Type参数

在POST数据后面后面继续添加要上传的文件内容,Send后成功返回OK

成功上传图片。通达OA默认上传位置:myoa/attach/im,则上面的完整路劲为:myoa/attach/im/2301/1277314394.jpg

复制URL:http://192.168.227.129/ispirit/interface/gateway.php ,构造POST请求包,进行文件包含操作,解析出一句话木马,payload为json={"url":"/general/../../attach/im/2301/1277314394.jpg"},成功解析

解析后的木马文件的位置为http://192.168.227.129/ispirit/interface/bbskali.php,蚁剑连接


参考文章

https://www.adminxe.com/1003.html

https://cloud.tencent.com/developer/article/1921368

https://www.cnblogs.com/Article-kelp/p/14726217.html


ENDฅฅ