[文末资源]记一次“移花接木”的getshell之旅

admin
admin
admin
137432
文章
113
评论
2021年5月15日07:39:50评论123 views字数 1034阅读3分26秒阅读模式
      



温馨提示




      本文章仅供学习交流使用,文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

0x00前言
某天网上冲浪的时候想找首歌听,发现目标站www.aaa.com有资源,于是就有了这篇文章
[文末资源]记一次“移花接木”的getshell之旅

[文末资源]记一次“移花接木”的getshell之旅


0x01信息收集

F12简单看下目标信息环境:
ServerSoft:IIS 7.5 CMS:JYMusic(ThinkPHP)
[文末资源]记一次“移花接木”的getshell之旅

[文末资源]记一次“移花接木”的getshell之旅

[文末资源]记一次“移花接木”的getshell之旅



0x02:开搞和碰壁

抱着试试看的心态随便找了个资源文件试了发解析漏洞,没想到成功了,那么现在只需要找到上传点就能getshell了。
[文末资源]记一次“移花接木”的getshell之旅

  • 常见的编辑器
    • Ueditor/Umeditor
    • Kindeditor
    • ckeditor/ckfinder
  • 程序上传点
    • 头像/文章/附件...
    • 上传组件
目标站开放注册,登录后发现存在头像上传功能,原以为直接可以搞定了,结果却不尽人意,应该是二次渲染了。。。
[文末资源]记一次“移花接木”的getshell之旅

试了上传一些二次渲染后仍能执行的Webshell后依然发现无法正常getshell,看样得放弃头像这个地方了


0x03:柳暗花明又一村

既然头像上传走不通那么只能另寻出路,分享音乐功能被改成人工审核,但是猜测接口还是存在的。
[文末资源]记一次“移花接木”的getshell之旅

这里通过fofa找到一个功能正常的站点,以下称为www.bbb.com
这个站点的分享音乐功能是正常的
[文末资源]记一次“移花接木”的getshell之旅

直接上传音乐文件
[文末资源]记一次“移花接木”的getshell之旅

文件正常上传,但是没有返回路径emmm,提交试试。
wtf,没有分类数据咋办,祭出神器F12给select标签加一个有value值的option。

[文末资源]记一次“移花接木”的getshell之旅

[文末资源]记一次“移花接木”的getshell之旅

[文末资源]记一次“移花接木”的getshell之旅

提示分享成功,查看审核列表也有了,编辑发现ID为23,首页随便点进去一个发现id为21。
[文末资源]记一次“移花接木”的getshell之旅[文末资源]记一次“移花接木”的getshell之旅
同时发现接口可以获取音乐上传路径,替换为ID=23后取得路径。
[文末资源]记一次“移花接木”的getshell之旅

[文末资源]记一次“移花接木”的getshell之旅

那么思路就来了,把www.bbb.com的操作在www.aaa.com重现一遍即可
直接把bbb.com上传音乐文件的请求,移花接木到aaa.com上(burp改包host和cookie,提交时改fileid)。
[文末资源]记一次“移花接木”的getshell之旅
[文末资源]记一次“移花接木”的getshell之旅[文末资源]记一次“移花接木”的getshell之旅[文末资源]记一次“移花接木”的getshell之旅
通过解析漏洞访问我们后缀名为MP3的webshell
至此成功getshell
[文末资源]记一次“移花接木”的getshell之旅




福利:

今天给大家带来的是未授权访问漏洞总结文档,关注公众号,后台回复“未授权”即可获取下载链接
[文末资源]记一次“移花接木”的getshell之旅

关注我们


一线渗透测试、红队技术文章有你好看!
[文末资源]记一次“移花接木”的getshell之旅




往期推荐




  

[文末资源]记一次“移花接木”的getshell之旅

                        [每日福利]利用Burp抓取客户端软件流量进行漏洞挖掘


[文末资源]记一次“移花接木”的getshell之旅

                       [日常福利]对某SQ网站的一次简单渗透





本文始发于微信公众号(零度安全攻防实验室):[文末资源]记一次“移花接木”的getshell之旅

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年5月15日07:39:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   [文末资源]记一次“移花接木”的getshell之旅https://cn-sec.com/archives/264654.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息