【漏洞挖掘】记一次某税务局的漏洞挖掘

挖掘某市税务局的公众号，这里记录一下，测试中发现了一个与其他税务局的功能点不一样的地方（大多数税务局采用的都是同一套模板，这种就很难挖了，就只能找功能点不同的来挖了），就点进去看了一下。

发现在我的企业中，添加企业存在绕过，这里就不具体说了，因为没有啥可利用的。然后看见有反馈意见，就在里面随意插入了个img标签（这里后面进入后台发现真的插进去了，感觉如果这里没有试的话可能后面就会忘记了）别的就没有啥功能点了。就复制了一下链接，发现为url为http://xxx.xxx.xx/me 放在浏览器访问一下，发现显示在微信客户端打开，

想着直接访问域名试试，发现直接是个登录页面

但是测试了一下竟然是个静态页面，功能点都用不了。。。

然后就使用dirsearch扫了一下目录，发现存在admin目录，访问发现是个微信公众号的管理后台

尝试弱口令admin admin竟然进去了。

然后就想着找上传点，在内容管理发现个上传图片的地方。

经测试后发现，对Content-Type进行了检验，例如

Content-Type为图片类型，即使上传成功了php文件，访问php文件时也会被解析成图片

然后修改Content-Type为applicaton/php，返回一个php文件格式文件，访问时发现不解析php文件

(经过测试发现只对jsp和jspx文件进行了黑名单过滤，其他的文件允许上传但是不解析)

那就只能尝试jsp绕过了，尝试了很多方法都不行(目标系统为Linux，中间件为apache)，后来发现自己绕过不了，然后就先放这了。

继续看其他功能点，发现在访问日志里面，有个一img图片，这就是我测试的时候插入的那个，发现存储型xss一枚。

后续实在没找到啥可利用的漏洞了，就又回到了上传上面，后来经过测试，发现在shell.jsp文件后面加上一个点后可绕过，成功返回了一个jsp文件路径。我寻思这不是windows系统的特性吗，后来询问其他师傅说可能是代码的问题。

使用冰蝎进行连接，发现为root权限。