【渗透实战】任意文件上传的曲折到等待上线

admin 2023年3月23日02:35:24评论37 views字数 831阅读2分46秒阅读模式

文章前言
经过上传替换私钥拿服务器之后,这次又碰到一个类似的,但和以往不同的是没开启私钥登录,也没有私钥文件。
不同的系统,加载的同一套第三方上传框架

【渗透实战】任意文件上传的曲折到等待上线

看看对应端口打开没

【渗透实战】任意文件上传的曲折到等待上线

存在,打开是空白

【渗透实战】任意文件上传的曲折到等待上线

fuzz下上传的接口,404

【渗透实战】任意文件上传的曲折到等待上线

打开之前拖出来的代码看看还有那些接口来着

【渗透实战】任意文件上传的曲折到等待上线

直接搜索关键词upload

【渗透实战】任意文件上传的曲折到等待上线

【渗透实战】任意文件上传的曲折到等待上线

获取接口后,访问看看

【渗透实战】任意文件上传的曲折到等待上线

表单解析失败,尝试post上传

【渗透实战】任意文件上传的曲折到等待上线

老办法通过替换秘钥链接服务器
../../../../../../../root/.ssh/authorized_keys

【渗透实战】任意文件上传的曲折到等待上线

这里是上传成功,本来以为可以下班了的,尝试连接服务器

【渗透实战】任意文件上传的曲折到等待上线

小问题,网络问题,换个节点在链接

【渗透实战】任意文件上传的曲折到等待上线

再次登录弹出私钥,尝试了几次确认要么就是没上传过去,要么就是没开启私钥登录,然后没办法,之前通过反弹shell是接收不到的

【渗透实战】任意文件上传的曲折到等待上线

死马当活马医,再次尝试通过定时任务反弹shell,在/var/spool/cron/root写入定时任务

【渗透实战】任意文件上传的曲折到等待上线

由于是阿里云,为了不确定的因素下直接反弹shell报警,就curl dnslog 现在就坐等一分钟,好的都两分钟了,白等

【渗透实战】任意文件上传的曲折到等待上线

不知道怎么继续的时候就爱百度,然后翻着翻着发现一篇反弹shell的

【渗透实战】任意文件上传的曲折到等待上线

虽然不能通过定时任务写入,但想到能通过sh文件去执行啊(这里也是打开profile文件才知道),然后用户打开bash窗口就会执行
分析:

【渗透实战】任意文件上传的曲折到等待上线

这里会加载/etc/profile.d/文件夹里所有sh文件 比如像这样

【渗透实战】任意文件上传的曲折到等待上线

进入/etc/profile.d目录,然后随便建一个sh文件

【渗透实战】任意文件上传的曲折到等待上线

然后再重新打开一个窗口

【渗透实战】任意文件上传的曲折到等待上线

执行了,没毛病 

确认可行之后开始上传到etc/profile.d

【渗透实战】任意文件上传的曲折到等待上线

坐等大冤种连接服务器,接下来还是漫长的等待

【渗透实战】任意文件上传的曲折到等待上线

等啊等,经过半天的时间终于上线了,下机


转自:先知社区,如侵权请后台留言删文~

                                                                                侵权请私聊公众号删文

原文始发于微信公众号(七芒星实验室):【渗透实战】任意文件上传的曲折到等待上线

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月23日02:35:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【渗透实战】任意文件上传的曲折到等待上线 https://cn-sec.com/archives/1622887.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: