HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

Môn học: An toàn web và CSDL

Bài thực hành 3

Họ và tên sinh viên: Lưu Văn Hưng

Mã số sinh viên: B20DCAT088
Lớp: D20CQAT04-B
Nhóm môn học: INT14105– Nhóm 1
Họ và tên giảng viên: Vũ Minh Mạnh

Hà Nội – 2023
Lab: User role controlled by request parameter
Đăng nhập với tài khoản wiener:peter, quan sát request qua Burp Suite
ta có:

Hệ thống xác định vai trò quản trị của người dùng qua tham số Admin
trong Cookie. Chúng ta có thể sửa đổi giá trị này thành Admin=true:
- Truy cập tới /admin:
- Xóa tài khoản Carlos:
-Hoàn thành bài lab:

Lab:Web shell upload via path traversal

Đăng nhập bằng wier:peter

Upload một file php với nội dung như sau:

<?php
echo file_get_contents('/home/carlos/secret');
?>
File được upload thành công:

- Khi truy cập đường dẫn file chúng ta không thu được nội dung mong muốn,
response chỉ trả về nội dung file được upload:
 - Điều này cho thấy chúng ta đã upload file thành công, tuy
nhiên có thể thư mục chứa file upload đang được hệ thống
cài đặt để không cho phép thực thi file với định dạng php.
Bởi vậy chúng ta có thể kết hợp lỗ hổng Directory
traversal, mục đích để đưa file upload tới thư mục khác cho
phép thực thi file php, thay đổi tên file thành ../shell.php.

trong response trả về, dòng thông báo chỉ còn avatars/shell.php, có vẻ cơ
chế ngăn chặn đã loại bỏ chuỗi ../.

- Chúng ta có thể bypass cơ chế này với URL encode: ..%2fshell.php:

Bình thường file tải lên được lưu trữ tại thư mục /files/avatars
(Có thể kiểm tra bằng cách upload một hình ảnh bình thường),
còn trong trường hợp này do đã "lùi" một thư mục nên file được
lưu tại thư mục /files. Có thể file upload được phép thực thi ở
thư mục này, truy cập đường dẫn file upload:
File thực thi thành công và chúng ta có nội dung secret, submit
và hoàn thành bài lab: