声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
闲来无事打开朋友给的一个野站,对于这样一个老站来说,不上去摸两手都是对漏洞的不尊重,说干就干,上来后发现是一个后台登陆界面,里面注册忘记密码应有尽有,常规测试来一波,发现都没有洞。
目录扫描,期间c+u大法看看js(可能会有惊喜发生),经过一番寻找,还真找到一个可疑的地方
发现是kindeditor编辑器,这妥妥的漏洞啊看到这个熟悉的upload文件上传跑不了了,构造一下一句话上传(注:确定上传的绝对路径和name)。上传jpg会报错。
![记一次野站渗透过程]( "记一次野站渗透过程")
所以需要测白名单,结果gif可以上传。
返回上传绝对路径,如此轻松岂不是完美。
但是想要执行为php脚本就要想,解析漏洞
![记一次野站渗透过程]( "记一次野站渗透过程")
iis 7.5这个惊喜来的太突然了,这不就是解析漏洞嘛,必须测试下。
在上传绝对路径后加上/a.php就可以让上传的gif执行php脚本
![记一次野站渗透过程]( "记一次野站渗透过程")
200成功执行
![记一次野站渗透过程]( "记一次野站渗透过程")
连接蚁剑
![记一次野站渗透过程]( "记一次野站渗透过程")
总结:
这个漏洞主要思路还是需要去仔细看,对于js文件有可能会出现很多的惊喜,本人也是比较菜的,偶尔来发一些心得,望能对需要的人有所帮助。
原文始发于微信公众号(钟毓安全):记一次野站渗透过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论