来源:https://forum.90sec.com/t/topic/1470
群里小伙伴发出一张没有打码的图片
大概意思说这是在某司论坛看到一个文章
他也想看一波文章。
你看就看了,为啥吧没有打码图片发出来呢,想让大家一起搞一波嘛。
结果看到他发的图(好久都没有搞渗透了。技巧确实没有了。。。。)
倒腾一波,显示没权限,并且需要有最高权限才可以看的。
我c。。。
你说你发出来不就是让人看的,设置一波255绝了。
接下来模仿大佬搞一波棋牌站点
我去没有见过。。。
来猜猜看密码
我去人品爆发啊
弱口令直接进去了
大家不会以为这样就完了吧?
什么后台上传sql注入一把梭不存在的。
找了半天没有找到。
陷入沉思...我这如此之菜。
后来看了看cookie发现6603admin这激起了我的兴趣。
网上搜所一波,结果是某狐棋牌网站
百度一波,看看有没有漏洞
结果还真找到了
https://www.uedbox.com/post/31921/
心里想:沃日这么easy
结果一访问沃日。
心中一万个曹尼玛涌过
综合某些资源发现了一个上传接口
fuzz了一波
发现永远都是0.
我c可能是文件名称不对
于是乎什么网站备份扫描。
目录扫描试了一波发现毛都没有。
又陷入了沉思。
忽然眼前一亮,我们不应该在一个地方死磕啊
于是,操起端口扫描工具对其进行了一波探测。
结果终于找到了突破口
找到一个端口竟然可以列目录。
我去看到一个tp的一个目录
然后点进去发现啥也没有显示
于是看了一波日志发现日志最近是11.20号的
看到了一个public
于是拼接一下果然网站出来了
既然是tp5,
你们懂得
拿自己写的武器去探测一下看看
接下来直接拿shell就行了。
拿shell过程如果有不会的直接百度一波看看。
接下来分析一下upload.ashx 拿出.net神器来分析一波
从这句代码来看
HttpPostedFile httpPostedFile = context.Request.Files["FileData"];
上传的名字应该是FileData。
如果不对那么永远都是返回0从这段代码就可以看出
string s = "0";
context.Response.Write(s);
所以应证了猜想参数不对
从代码里面可以知道,他要调用一个函数来验证上传参数的扩展名是否在这个函数中。
一看函数凉凉了白名单验证
publicstaticreadonlystring[] allowExtend = newstring[]
{
".jpg",
".gif",
".png",
".bmp",
".pdf",
".xls",
".xlsx",
".doc",
".docx",
".rar",
".txt"
};
截断可以试试貌似截断只有在特定iis下才可以成功。
另外通过读代码我们发现他的命名规则是
string str2 = DateTime.Now.ToString("yyyyMMddHHmm") + "_" + httpPostedFile.FileName;
时间_我们上次的文件名称
如果是2003的系统我们可以直接用解析漏洞来拿到shell
<html>
<body>
<form action="http://xxxx/ashx/Upload.ashx" method="post"
enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="FileData"/>
<br />
<input type="submit" value="Submit" />
</form>
</body>
</html>
下面演示一下
在看别人搞得另外一套某狐网站登录处有注入
但是这个棋牌系统在此登录处直接过滤单引号。
并且做得是参数化因此登录处注入灭绝
另外发现那个上传点不是不存在了是被人改名字了
至此文章完结
声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,本公众号及原作者不承担相应的后果.
学习更多渗透技能!供靶场练习技能
(扫码领白帽黑客视频资料及工具)
原文始发于微信公众号(渗透师老A):实战 | 某棋牌站点爆菊
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论