0x00前言

https://github.com/J0o1ey/BountyHunterInChina

欢迎亲们点个star

作者:RG@M78sec

某天测厂商业务时,发现其中有一个提供音乐播放业务的资产,正好里面有我想听的歌,于是就有了这篇文章

image-20201205160554474

image-20201205160121123

0x01信息收集

F12简单看下目标信息环境:

ServerSoft:IIS 7.5 CMS:JYMusic(ThinkPHP)

image-20201205203643549

image-20201205191133374

image-20201205160718252

0x02:开搞和碰壁

抱着试试看的心态随便找了个资源文件试了发解析漏洞,没想到成功了,那么现在只需要找到上传点就能getshell了。

image-20201205161100977

  • 常见的编辑器
    • Ueditor/Umeditor
    • Kindeditor
    • ckeditor/ckfinder
  • 程序上传点
    • 头像/文章/附件…
    • 上传组件

目标站开放注册,登录后发现存在头像上传功能,原以为直接可以搞定了,结果却不尽人意,应该是二次渲染了。。。

image-20201205202024748

试了上传一些二次渲染后仍能执行的Webshell后依然发现无法正常getshell,看样得放弃头像这个地方了

如有技术交流或渗透测试/代码审计/SRC漏洞挖掘/红队方向综合培训 红蓝对抗评估需求的朋友

欢迎联系QQ/VX-547006660

0x03:柳暗花明又一村

既然头像上传走不通那么只能另寻出路,分享音乐功能被改成人工审核,但是猜测接口还是存在的。

image-20201205204511930

这里通过fofa找到一个功能正常的站点,以下称为www.bbb.com

这个站点的分享音乐功能是正常的

image-20201205205151727

直接上传音乐文件

image-20201205205655805

文件正常上传,但是没有返回路径emmm,提交试试。

wtf,没有分类数据咋办,祭出神器F12给select标签加一个有value值的option。

image-20201205205828488

image-20201205210111667

image-20201205210324889

提示分享成功,查看审核列表也有了,编辑发现ID为23,首页随便点进去一个发现id为21。

image-20201205210448096
在这里插入图片描述

同时发现接口可以获取音乐上传路径,替换为ID=23后取得路径。

image-20201205212244888

image-20201205212804121

那么思路就来了,把www.bbb.com的操作在www.aaa.com重现一遍即可

直接把bbb.com上传音乐文件的请求,移花接木到aaa.com上(burp改包host和cookie,提交时改fileid)。

image-20201205213752008
image-20201205214238085
在这里插入图片描述

image-20201205214620472

通过解析漏洞访问我们后缀名为MP3的webshell

至此成功getshell

image-20201205214756710


版权声明:本文为qq_26091745原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/qq_26091745/article/details/129057511