记一次曲折的黑盒oa到通杀getshell

周末闲来没事干，分享下周末挖的一个垃圾0day

直接弱口令进去

目的明确，找找上传点

原来是小黑子（黑名单）

直接jspx上传看看

上传成功，但你到是给我返回路径啊

复制上面的看看

我干，直接下载出来了，直接f12看看找找jpg路径

发现还是有相同时间命名的文件 Fuzz路径看看，应该2015是时间，logo是上传的参数，最后是时间命名的文件

全是400

真是多看一眼就爆炸，再近一点靠近点快被融化

在找找别的图片路径看看有没有发现 翻着翻着看见一个小喇叭，出于好奇点开看看

点开看看，开启f12大法

突然这个时候想到，找个人设置瞅瞅 说出来不怕笑话，找个人设置找了半小时 Tm的藏这么深

你大爷的

不急，咱们获取下路径就行，上传jpg看看（上传的照片是他之前的）

然后拼接看看

可行，我以为前段只是js校验的时候是我想多了。

啥也不返回，然后我对比前面上传的包

一个path参数=cooperate，一个是=peopleinfo 原来path参数就是文件夹命名 那还说啥，直接拼接下机

我真的会谢，我以为是我搞错的时候，上传个txt看看

没毛病啊，难道是这个目录不解析jspx

根目录是解析jspx的，所以尝试下path参数跨目录

报500,不支持跨目录？，尝试下用/

上传成功

也不行，上传txt确可以跨了个目录

也试了编码这些，正当准备提桶跑路的时候 想到../不行试下..

梭哈的艺术

正当准备复制连接的时候，不小心点快了，吧页面删了，直接重新传个命令马

愉快的周末，现在终于能下机了