M78sec]记一次“移花接木”的getshell之旅

  • A+
所属分类:安全文章

M78sec]记一次“移花接木”的getshell之旅

0x00前言

某天网上冲浪的时候想找首歌听,发现目标站www.aaa.com有资源,于是就有了这篇文章


M78sec]记一次“移花接木”的getshell之旅


M78sec]记一次“移花接木”的getshell之旅


0x01信息收集

F12简单看下目标信息环境:

ServerSoft:IIS 7.5        CMS:JYMusic(ThinkPHP)


M78sec]记一次“移花接木”的getshell之旅

M78sec]记一次“移花接木”的getshell之旅

M78sec]记一次“移花接木”的getshell之旅


0x02:开搞和碰壁

抱着试试看的心态随便找了个资源文件试了发解析漏洞,没想到成功了,那么现在只需要找到上传点就能getshell了。


M78sec]记一次“移花接木”的getshell之旅


  • 常见的编辑器

    • Ueditor/Umeditor

    • Kindeditor

    • ckeditor/ckfinder

  • 程序上传点

    • 头像/文章/附件...

    • 上传组件

目标站开放注册,登录后发现存在头像上传功能,原以为直接可以搞定了,结果却不尽人意,应该是二次渲染了。。。


M78sec]记一次“移花接木”的getshell之旅


试了上传一些二次渲染后仍能执行的Webshell后依然发现无法正常getshell,看样得放弃头像这个地方了

0x03:柳暗花明又一村

既然头像上传走不通那么只能另寻出路,分享音乐功能被改成人工审核,但是猜测接口还是存在的。


M78sec]记一次“移花接木”的getshell之旅


这里通过fofa找到一个功能正常的站点,以下称为www.bbb.com

这个站点的分享音乐功能是正常的


M78sec]记一次“移花接木”的getshell之旅


直接上传音乐文件


M78sec]记一次“移花接木”的getshell之旅


文件正常上传,但是没有返回路径emmm,提交试试。

wtf,没有分类数据咋办,祭出神器F12给select标签加一个有value值的option。


M78sec]记一次“移花接木”的getshell之旅

M78sec]记一次“移花接木”的getshell之旅

M78sec]记一次“移花接木”的getshell之旅


提示分享成功,查看审核列表也有了,编辑发现ID为23,首页随便点进去一个发现id为21


M78sec]记一次“移花接木”的getshell之旅


同时发现接口可以获取音乐上传路径,替换为ID=23后取得路径。


M78sec]记一次“移花接木”的getshell之旅


M78sec]记一次“移花接木”的getshell之旅


那么思路就来了,把www.bbb.com的操作在www.aaa.com重现一遍即可

直接把bbb.com上传音乐文件的请求,移花接木到aaa.com上(burp改包host和cookie,提交时改fileid)。


M78sec]记一次“移花接木”的getshell之旅

M78sec]记一次“移花接木”的getshell之旅

M78sec]记一次“移花接木”的getshell之旅


通过解析漏洞访问我们后缀名为MP3的webshell

至此成功getshell


M78sec]记一次“移花接木”的getshell之旅

M78sec]记一次“移花接木”的getshell之旅

本文始发于微信公众号(疯猫网络):M78sec]记一次“移花接木”的getshell之旅

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: