前言
因为懒得搭环境,所以直接用了墨者学院的靶场。
产生PUT任意文件上传的原因在于使用IIS开启了webDAV。问题来了,什么是webDVA?
简单来说,webDAV是基于HTTP 1.1的通信协议,使得在除了GET、POST、HEAD这几种常见的请求方式之外,还能使用像是PUT、MOVE、COPY这些方法。
问题就出在了这里,一般的网站根本不需要用到这些多的请求,在开启webDAV、而且还选了可写入这个选项之后,就能造成任意文件上传(伪)。
漏洞复现
中间件漏洞
理解差不多的原理之后,再看墨者的这个靶场,使用的是IIS6.0,直接使用OPTIONS方法。如果开启了webDAV的话,OPTIONS方法能够显示支持的请求。
显然开启了webDAV,那么使用PUT方法上传一句话木马。IIS6.0默认可执行文件为asp,所以使用asp的一句话马。
为什么说是任意文件上传(伪),因为上传的文件后缀名不能是asp,只能传txt这种。
回显201,显示创造成功。
但是因为是txt,无法利用。因此使用MOVE或者COPY,将文件移动成asp后缀脚本
传asp传不上去(图没截),因为环境是IIS6.0,那就用IIS6.0的分号解析漏洞,上传;.txt
这里似乎是墨者靶场的回显码有错误。
如果是自己搭建环境的话,出现了回显207,需要勾选可执行脚本资源这个选项,就能正常利用了。
访问/shell.asp;.txt,页面虽然空白但证实的确存在,用蚁剑连接,找到key。
至此复现完成,因能力有限,如果本文中有什么不对之处,烦请读者于评论区中指出错误,谢谢!
