انجمن تیم امنیتی ایران سایبر

مشکل در اپلود فایل با Http Put

شروع موضوع توسط anonyanony ‏5/8/19 در انجمن تحلیل و بررسی آسیب پذیری های سایت و سرورها

  1. لطفا فایل های خود را جهت ماندگاری در انجمن اپلود کنید در صورت مشاهده لینک اپلود خروجی , تاپیک حذف خواهد شد .
    بستن اطلاعیه
بستن اطلاعیه


درود مهمان گرامي؛

مهمان گرامي، براي مشاهده تالار با امکانات کامل ميبايست از طريق ايــن ليـــنک ثبت نام کنيد .

حامی مسابقات و برگزار کننده دوره های پیشرفته ارزیابی امنیت برای سازمان ها فتح پرچم (CTF)
  1. anonyanony
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏6/10/17
    ارسال ها:
    157
    تشکر شده:
    103
    جنسیت:
    Name:
    zahra
    Main os:
    Windows
    سلام من یه تارگتی دارم http put رو اون فعاله ولی به مشکل برخوردم. کامل اینجا شرح میدم لطفا بگین مشکل چیه و چیکار باید بکنم؟
    من با nmap اقدام به اپلود فایل کردم
    کد:
    C:\Users\anony\Desktop>nmap -p 80 mywebsite.com --script http-put --script-args http-put.url='/aaa.txt',http-put.file='C:\Users\anony\Desktop\aaa.txt'
    Starting Nmap 7.70 ( https://nmap.org ) at 2019-08-02 23:45 Pacific Daylight Time
    Nmap scan report for mywebsite.com (1.1.1.1)
    Host is up (0.047s latency).
    
    PORT   STATE SERVICE
    80/tcp open  http
    |_http-put: /aaa.txt was successfully created
    میبینین که فایل اپلود میشه و پیام موفقیت امیز میده. اما وقتی به دایرکتوری موردنظر میرم :
    کد:
    http://mywebsite.com/aaa.txt
    خطا میده که فایلی وجود ندارد.
    حتی من تمام دایرکتوری های دیگر سایت رو پیدا کردم که فکر کردم شاید فایلم در اونا ذخیره شده باشه و تک تک پیداشون کردم و تست زدم اما برای اونام خطا میده که فایل وجود ندارد مثل این مسیرها :
    کد:
    http://mywebsite.com/aaa.txt
    http://mywebsite.com/wekend/aaa.txt
    http://mywebsite.com/others/aaa.txt
    http://mywebsite.com/txtclub/aaa.txt
    
    بجای nmap رفتم از burp هم استفاده کردم اما وقتی در اونم سعی دارم فایلی رو اپلود کنم این خطا رو میده
    برای نمایش این قسمت باید وارد سیستم شوید یا اینکه ثبت نام نمایید
    کد:
    HTTP Status 403 -
    
    type status report
    message
    description Access to the specified resource has been forbidden.
    
    Apache Tomcat/7.0.53
    من چطور میتونم این مشکل رو حل بکنم؟
    کسی از اساتید بلد هس کمک بکنه؟
     
    آخرین ویرایش: ‏5/8/19
  2. JOK3R

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏22/10/14
    ارسال ها:
    446
    تشکر شده:
    2,103
    جنسیت:
    محل سکونت:
    dreams
    Name:
    james
    Main os:
    Windows
    به طور کلی نمیشه گفت مشکل از کجاست چون ما اطلاعات کاملی نداریم

    اما اگر به احتمالات نگاه کنیم حالت هایی پایین ممکنه رخ بده!

    1- فایل ساخته شده! اما htaccess اجازه اجرا شدنشو نمیده!
    2- فایل در یه مسیر نامعلوم ساخته شده!
    3 - دسترسی ایجاد فایل یا آپلود ندارید!
    4 - WAF




     
    anonyanony و IWHH(Mobin) از این پست تشکر کرده اند.
  3. anonyanony
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏6/10/17
    ارسال ها:
    157
    تشکر شده:
    103
    جنسیت:
    Name:
    zahra
    Main os:
    Windows
    سلام امید
    با توجه به اینکه apache tomcat خطای forbidden میده من فکر میکنم دسترسی write برروی دایرکتوری های مدنظرمون برای یوزر وب سرور بسته شده.
    از طرفی هم nmap پیغام successful میده.
    نظر شما چیه؟
    مثلا یه سرور داریم به آدرس 2.2.2.2 و میخوام توی دایرکتوری های مختلف اون دنبال یه فایل مشخص بنام a.txt بگردم. ابزاری برای اینکار هس؟
     
  4. JOK3R

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏22/10/14
    ارسال ها:
    446
    تشکر شده:
    2,103
    جنسیت:
    محل سکونت:
    dreams
    Name:
    james
    Main os:
    Windows
    Nmap یه برنامه هست ممکنه اشتباه کنه! (برنامه نویسش منظورمه)

    اگه اسم دایرکتوری هاش رو میدونید نوشتن یه اسکریپت کاری نداره

    اگر میخواهید میتونم براتون بنویسم اسکریپت رو

     
    Reza.Black و anonyanony از این پست تشکر کرده اند.
  5. anonyanony
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏6/10/17
    ارسال ها:
    157
    تشکر شده:
    103
    جنسیت:
    Name:
    zahra
    Main os:
    Windows
    سلام امیدجان
    بله ظاهرا دسترسی ایجاد فایل نداره واسه همین.
    برا سوال دوم باید بگم بله اسم دایرکتوری هاشو دارم و اگر هم نداشته بودم با burp suite میشه بدست اورد اما دارم دایرکتوری هاشو. میشه لطف کنین اسکریپتشو بنویسین؟
     
بارگذاری...
به انجمن تخصصی امنیت ایران سایبر خوش آمدید . برای مشاهده تمامی تالار ها و امکانات ثبت نام کنید .