记某学校通用系统文件上传漏洞

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。 请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

@on1_es师傅原创投稿，未经授权，严禁转载！

前言

分析一次黑盒测试下的edu通用系统文件上传getshell

流程

站点某js文件内存在cbz.ui.upload方法，且发现文件上传接口为/util/upload，测试任意文件上传

测试上传哥斯拉木马成功getshell

审计

拿到shell以后因为站点是asp.net开发的，所以直接看/bin目录下的控制器即可

反编译dll文件后全文检索fileupload类函数，这里直接搜upload，可以看到该方法使用httppost方式接受参数，对文件名后后缀没有任何拦截，所以对其发包可以直接getshell，而下面的代码可以输出文件上传路径，代码处显示的是当前月日随机时间戳

在审计前面的代码的时候发现第二处文件上传接口/Util/UploadApi，代码同上路由同上接受参数同上没什么好讲的，也是直接文件流发包即可getshell

自动

针对edusrc的刷分常用思路，提取特征使用工具fofa爬取数据

获取单特征未去重数据，编写指纹特征识别，创建指纹命中poc调用工作流

混合扫描

原文始发于微信公众号（潇湘信安）：记某学校通用系统文件上传漏洞