绝路逢生出0day到SYSTEM权限

admin
admin
admin
138876
文章
114
评论
2023年3月17日10:54:15评论46 views字数 2141阅读7分8秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


又是一个深夜,记录前段时间测试的过程。唉,每次小有所学就要懈怠一会。全文高强度打码。

逻辑漏洞+编辑器0day=getshell+内网漫游


0x00 一个登录框

使用google hacking语法,翻了一翻,锁定了目标范围内一个看起来普普通通的登录页面。
绝路逢生出0day到SYSTEM权限

aspx写的页面,应该是Windows服务器。顺手点了一下找回密码,需要提供注册使用的邮箱,没有提前搜集邮箱信息,放弃任意密码重置。

爆破密码,超过一定次数锁定账户,登陆频繁ban IP,放弃暴力破解。
尝试SQL注入,失败。
F12审查元素,发现了二维码登录的接口,但是无法访问。看来,只能从用户注册入手了。

0x01 任意账户注册

打开注册页面,走个流程,填好信息表。
绝路逢生出0day到SYSTEM权限


麻利地回车,系统却提示需要确认邮件。
绝路逢生出0day到SYSTEM权限


emmm,不耐烦地去邮箱看一下。
绝路逢生出0day到SYSTEM权限


嗯,只需要点一下这里,或者那里,就可以完成账号激活操作。看了一下链接,有点意思。

这个URL的结构是这样的:
http://x.xx.com/x.aspx?userName=aaa&Tomail=bbb&passWord=ccc

刚好包含了我注册的用户信息,那么,如果我直接构造一个URL,点击之后是不是就能跳过邮箱验证来激活账号了?

想到就试,随意注册一个账号、构造链接、访问、激活,一气呵成。
绝路逢生出0day到SYSTEM权限


逻辑漏洞到手,任意账户注册。

0x02 失败的尝试

登陆一下,进来了,里面是长这个样子的= =。
绝路逢生出0day到SYSTEM权限


是个投稿的页面,随便点点浏览一下,没有什么东西,功能不怎么多。

看来只有个人中心可以玩了,看看有没有XSS、CSRF,越权什么的。
没有头像,测了一下。输出编码,XSS放弃;通过加密过的cookie来鉴权,且没有敏感的参数,越权放弃;每一步操作都有大量的随机字符串和冗长的参数,挑了几个关键参数构造poc,CSRF失败;不存在SQL注入。

0x03 发现留言板

测试累了,歇了一会,不争气地打起了手游。又玩累了,继续测试。
会不会漏掉了什么功能,要不要fuzz一下。握着鼠标划了一会,发现上面竟然有下拉菜单,长这个样子(反色处理部分)。
绝路逢生出0day到SYSTEM权限


有的玩了,有留言就有留言板,打开看看。没见过这个编辑器,没有什么公开漏洞,但是百度百科有记录,也是个有头有脸的编辑器了。
绝路逢生出0day到SYSTEM权限


打开插入图片,弹出了一个图片管理器。
绝路逢生出0day到SYSTEM权限


脸一黑,居然是白名单策略。试试绕过,失败;试试文件解析,也失败。难道这次测试就以一个低危逻辑漏洞收尾了吗….

0x04 突破白名单

不慌,还有个浏览页面的功能。只能浏览Upload目录,抓包看看能不能改参数来实现目录遍历。
绝路逢生出0day到SYSTEM权限


嗯,这一大串一大串的大小写字母+数字等号,不是base64吗。一段一段地解码,有的解不开,疑似经过加密;有的解开了,是无用参数。解到图上这一段,就有点意思了。

里面出现了一些敏感参数:FileType、ViewPaths、FileBrowse等,但是还有第二层base64编码。
绝路逢生出0day到SYSTEM权限


继续解开看看,非人哉,还有第三层base64编码。
绝路逢生出0day到SYSTEM权限


但是仔细看看,这几个密文的开头都一样,根据base64的编码规则,说明明文的开头也一样,那么这几个到底是什么玩意呢。

于是小心翼翼地解开了第三层编码(Burp Suite里字好小,为了不选中逗号,鼠标要挪半天)。
绝路逢生出0day到SYSTEM权限


哎嘿,解开了。这不就是传说中的前端传参吗?(假的,我也没听过这传说。)

激动地将jpg改成了aspx,小心翼翼地编码回去,放包。

绝路逢生出0day到SYSTEM权限


这次白名单是不是比之前好看多了,光看不行,试一试。谨慎地上传了一个aspx空文件。
绝路逢生出0day到SYSTEM权限

但是,,,不能访问,直接跳转到错误页。不应该,aspx的文件大小都能看到了,应该是传上去了,应该看到一个200的空白页面才对。难道这就完了吗….

0x05 千辛万苦 getshell

既然这windows服务器能跑aspx,那asp是不是也能跑?小心翼翼地重新抓包,三层解码,这次我把aspx、asp都加到白名单里了,再小心翼翼地编码回去。

这次按照图片的命名规则,直接传了菜刀的小马。
绝路逢生出0day到SYSTEM权限

复制链接,访问了一下,500内部错误。不错,说明脚本上传了,而且被运行了。

绝路逢生出0day到SYSTEM权限

打开菜刀,成功拿下。美中不足的就是中文目录乱码了,上了冰蝎马。
绝路逢生出0day到SYSTEM权限


OK,完美。

0x06 成功提权 漫游内网

传马,msf上线,MS16-075顺利提权。

绝路逢生出0day到SYSTEM权限


存在内网,没有域,扫描一波内网。
绝路逢生出0day到SYSTEM权限


OK,不再深入。


0x07 总结

这次测试花了一个下午,拿到了一个第三方编辑器的任意文件上传0day,成功提权收获颇丰。

文章来源:Woojay's Blog原文地址:https://blog.blankshell.com/2020/02/26/绝路逢生出0day-system权限内网漫游/

关 注 有 礼



关注公众号回复“9527”可以领取一套HTB靶场文档和视频1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”杀软对比源码+数据源,0421Windows提权工具包
绝路逢生出0day到SYSTEM权限 还在等什么?赶紧点击下方名片关注学习吧!绝路逢生出0day到SYSTEM权限

推 荐 阅 读




绝路逢生出0day到SYSTEM权限
绝路逢生出0day到SYSTEM权限
绝路逢生出0day到SYSTEM权限

绝路逢生出0day到SYSTEM权限

原文始发于微信公众号(潇湘信安):绝路逢生出0day到SYSTEM权限

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月17日10:54:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   绝路逢生出0day到SYSTEM权限https://cn-sec.com/archives/1610300.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息