[文末资源]记一次“移花接木”的getshell之旅

      

温馨提示

      本文章仅供学习交流使用，文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

0x00：前言

某天网上冲浪的时候想找首歌听，发现目标站www.aaa.com有资源，于是就有了这篇文章

0x01：信息收集

F12简单看下目标信息环境:

ServerSoft:IIS 7.5 CMS:JYMusic(ThinkPHP)

0x02：开搞和碰壁

抱着试试看的心态随便找了个资源文件试了发解析漏洞，没想到成功了，那么现在只需要找到上传点就能getshell了。

• 常见的编辑器
• Ueditor/Umeditor
• Kindeditor
• ckeditor/ckfinder
• 程序上传点
• 头像/文章/附件...
• 上传组件

目标站开放注册，登录后发现存在头像上传功能，原以为直接可以搞定了，结果却不尽人意，应该是二次渲染了。。。

试了上传一些二次渲染后仍能执行的Webshell后依然发现无法正常getshell，看样得放弃头像这个地方了

0x03：柳暗花明又一村

既然头像上传走不通那么只能另寻出路，分享音乐功能被改成人工审核，但是猜测接口还是存在的。

这里通过fofa找到一个功能正常的站点，以下称为www.bbb.com

这个站点的分享音乐功能是正常的

直接上传音乐文件

文件正常上传，但是没有返回路径emmm，提交试试。

wtf，没有分类数据咋办，祭出神器F12给select标签加一个有value值的option。

提示分享成功，查看审核列表也有了，编辑发现ID为23，首页随便点进去一个发现id为21。

同时发现接口可以获取音乐上传路径，替换为ID=23后取得路径。

那么思路就来了，把www.bbb.com的操作在www.aaa.com重现一遍即可

直接把bbb.com上传音乐文件的请求，移花接木到aaa.com上（burp改包host和cookie，提交时改fileid）。

通过解析漏洞访问我们后缀名为MP3的webshell

至此成功getshell

福利：

今天给大家带来的是未授权访问漏洞总结文档，关注公众号，后台回复“未授权”即可获取下载链接

关注我们

一线渗透测试、红队技术文章有你好看！

往期推荐

  

                        [每日福利]利用Burp抓取客户端软件流量进行漏洞挖掘

                       [日常福利]对某SQ网站的一次简单渗透

本文始发于微信公众号（零度安全攻防实验室）：[文末资源]记一次“移花接木”的getshell之旅