0x00 前言
以下漏洞均已经上报漏洞平台,并且已经修复。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本公众号及本人无关。
0x01 描述
看到某漏洞报告平台证书又上新了,还蛮好看的,这不得狠狠的挖一波。于是乎,在一个满课的下午在证书站开始了坐牢之旅
0x02 正题
群里大师傅经常说,挖洞不RCE那还叫挖洞吗(doge)奈何我实在太菜,确实没挖到几个RCE。不过这次运气好,让我捡到了一个小小的RCE,既能换证书还能水一篇文章
顺便分享一下这次奇妙的RCE之旅。
下面就是爽文开始了,大家做好准备。
经过漫长的信息收集,终于找到了这样的一个网站(这得归功于灯塔,挖洞师傅们都应该要有自己一套好用高效的工具)
翻了太多的网站看到这个站直接眼前一亮,为什么呢,因为这个站有注册功能呀,有注册功能的网站一般都是比没有注册功能的网站有价值的,因为我可以注册进去测功能点,也可以注册几个号测试越权啥的。
直接框框一顿注册,进去翻找功能点,终于功夫不负有心人,该招生平台集成了ueditor编辑器(这里一开始没有截图,现在修复了也截不了图了)
1. Ueditor根路径
ueditor根路径为:https://xx.xxxx.xxx.cn/zuecontorl ,利用/net/imageUp.ashx 可以上传文件。
2. 构造请求包
这里需要构造请求包,才能上传文件。比较重要的两个参数分别是upfile 和fileNameFormat。fileNameFormat 控制文件名,upfile 控制扩展名。
后端主要对upfile 处的扩展名进行检测,不符合条件的会报错
将upfile 的filename 字段只留下jpg,就会发现整个文件的文件名和扩展名均由fileNameFormat 控制。
3. 代码执行测试
相关aspx脚本代码被解析。
0x03 总结
-
碰到能注册的网站都应该去注册试试,在网站后台测试比要在网站前台测试有价值。
-
碰到编辑器一定要仔细测试,可以先弄明白是哪个编辑器,然后去网上找该编辑器的历史漏洞。
-
碰到文件上传要仔细,弄清楚是白名单检测还是黑名单检测,然后尝试绕过,不是所有的网站会防护的很严格。
最后,诚挚邀请对网安感兴趣的师傅进群交流,因为群已经满200人,所以想进群的师傅可以在公众号后台dd加群,会有人邀请师傅进群交流。最后希望师傅们三天一通杀,五天一0day,一天一个RCE。
原文始发于微信公众号(小呆安全):漏洞实战系列(一):从编辑器到RCE
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论