实战|别致的上传思路导致getshell的案例

admin 2022年9月21日11:16:53安全文章评论6 views1340字阅读4分28秒阅读模式

本文首发于奇安信攻防社区

0x01 前言

在某次授权的项目中,客户只要getshell漏洞,经过一番折腾,最后成功拿下shell,完成项目交付,本文将过程和遇到的问题和一些小tips分享给大家。

0x02 SQL注入

经过资产收集,在资产中,找到某个子域名,打开就是个登录框

实战|别致的上传思路导致getshell的案例

输入手机号和密码,验证码进行登录
结果数据包中并没有验证码,2333
随手加上’居然报错了,存在mysql的注入,还报错了物理路径,还有密码列名为
usepwd(后面有用到)

实战|别致的上传思路导致getshell的案例

要是root权限是不是就美滋滋了,结果多想了,不是root权限

尝试了用or '1'='1也没成功登录,只能老老实实去注入查账号密码,然后登录进去看看有没有其他点可以拿shell

手工看后没有过滤,可以使用select from,那跑数据还是交给sqlmap吧

按照步骤,跑裤,跑表

实战|别致的上传思路导致getshell的案例

可是这个数据库是通用的,表名就有400多个,带User关键字的都有20多个

尝试了第个表名locus_user

实战|别致的上传思路导致getshell的案例

跑出来的账号密码,账号不是手机号,密码也登录不上。

就跑第二个,第三个,都不对

想了想,登录后还不知道有没有其他点能用,注入一直这么跑,有些表也很大,也很敏感,就不敢跑了,关机睡觉,第二天换其他子域名去看

但是第二天下午还是想看看能不能搞下来,就继续看这个站

回过头来想到userpwd的字段,mysql也有存储了表和列结构
想到直接查那些表名有userpwd的字段

select * from information_schema.columns where column_name = 'userpwd'
直接—sql-shell去执行,这次只得到三个表名

实战|别致的上传思路导致getshell的案例

最终在coupon_user获得账号密码
133xxxx3333/xxxx

0x02文件上传

使用账号密码直接登录

在后台一堆找,都是查询,有个活动编辑的功能,里面有上传图片

实战|别致的上传思路导致getshell的案例

直觉告诉我这里可以shell,兴高采烈的上传抓包

实战|别致的上传思路导致getshell的案例

结果上传接口为uploader/uploadTencentCloud,文件保存到TencentCloud,没保存在本地,这也没办法shell啊

不甘心找其他上传的地方,如下
实战|别致的上传思路导致getshell的案例

还是上传在腾讯云,整个站都使用的uploadTencentCloud的接口上传

陷入僵局,冷静思考了一下理一理思路

上传腾讯云,上传名字也叫uploadTencentCloud,会不会是开发新开发的接口,怕服务器保存图片太多了,专门开发的接口。

会不会存在upload的方法

直接尝试一下

实战|别致的上传思路导致getshell的案例

真被我猜中了,存在upload的上传接口

为了验证自己的想法,尝试了其他站,有些站也有这个小问题,开发不删除原接口,根据业务要求直接写了新接口,修改了前端。

尝试将uploader/uploadTencentCloud改成uploader/upload

实战|别致的上传思路导致getshell的案例

成功上传到本地,喜出望外,盲猜一手文件存在了upload目录

实战|别致的上传思路导致getshell的案例

成功getshell

技术总结

1.当mysql注入数据库里表名很多,找不到列名时,可根据报错的列名或者参数值去查询表名

2.遇到二次开发的上传接口,如uploadTXuploadOSSuploadS3时,可尝试upload接口是否存在


扫码加个好友进

cisp系列考证备考群

请备注:备考

实战|别致的上传思路导致getshell的案例

原文始发于微信公众号(HACK之道):实战|别致的上传思路导致getshell的案例

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月21日11:16:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  实战|别致的上传思路导致getshell的案例 http://cn-sec.com/archives/1309440.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: