一、弱口令漏洞

（一）基本原理

1.弱口令：容易被别人猜到或破解的命令

2.常见弱口令：

3.漏洞利用：bp爆破

（二）工具使用

bp intruder的四个模块：

1.sniper：只攻击一个payload模块，适用于只攻击账号或者密码

2.Battering ram：一个payload攻击多个值，适用于账号密码相同的攻击

3.Pitchfork：多个payload一一对应多个值，适用于一对一账号密码

4.cluster bomb:一对多的关系，适用于同时爆破账号和密码

（三）题目示例

打开环境，随便输入一个账号密码然后抓包（一般账号为admin,密码随便猜个123456），可以直接猜账号名为admin然后使用sniper模式（比较靠运气的一种做法），也可以使用cluster bomb模式同时爆破账号和密码（会有点麻烦）

使用常用密码本进行爆破，可以在网上找，如

https://blog.csdn.net/ting_liang/article/details/137293346?fromshare=blogdetail&sharetype=blogdetail&sharerId=137293346&sharerefer=PC&sharesource=2401_88301161&sharefrom=from_link

也可以用bp自带的，选择从列表中添加然后选择password即可

按照返回字符长度排序，一般长度最短或者最长的即为最终账号密码

二、文件上传漏洞

（一）基本原理

1.产生漏洞原因：未对上传文件进行严格认证，导致漏洞，可以利用上传的文件控制整个网站，此文件被称为Webshell，也可称为一种网页后门，可分为大马，小马，还有一句话木马、菜刀马、脱库马等对于其功能或特性的简称。

2.利用漏洞原理：由于服务器会解析.php文件，当传输特定参数并将恶意命令通过参数值发送时，eval函数就会执行该命令(任意php代码)，从而实现对服务器的控制（获取敏感信息，篡改数据）

e.g.一句话木马：

<?php@eval(%_POST['yxr']);?>
<?php@eval($_GET['cmd']);?>

使用：

1.post：上传一句话木马后使用蚁剑连接即可访问内部文件

2.get：上传后直接使用get传参查找flag即可

（二）文件上传绕过

1.客户端绕过

客户端js脚本有限制，只能上传图片类型或者别的什么类型（反正就是不能上传php文件）

e.g.期末考图片库

将一句话木马的扩展名改为.jpg来上传，上传时候抓包，再将.jpg改为.php再重新发包（服务器只会解析,php文件，不会解析.jpg文件，这步已经绕过这一限制成功上传了，就可以改回来，只要content—type不变都能成功上传）

后面就依然可以进行蚁剑连接等操作来查找敏感信息

2.客户端文件类型检查

服务器在后台对上传文件的Content-Type进行了检查。发现如果不是运行上传范围内的content-Type类型就拒绝上传

e.g.期末考ez_upload2

首先上传一张正常图片，使用bp拦截，再上传一句话木马，同样使用bp拦截，对比后将一句话木马的content-type改得和图片的一样，再重发即可成功上传

3.文件后缀绕过

1）只限制少量后缀

如果.php后缀被限制，可以尝试：大小写绕过（.pHp、.aSP）、文件名双写（.pphphp）、.php3、.php4、.phtml、.pht等后缀，webshell的内容不变

e.g.upload-labs/Pass-03

2)大量的文件后缀被限制

除了php外常见的可绕过的后缀都被限制，可尝试上传.htaccess后缀文件，此方法仅限于aoache服务器

e.g.