记一次js泄露致任意文件读取到getshell

admin

139293
文章

114
评论

2025年2月19日14:43:31评论19 views字数 1350阅读4分30秒阅读模式

前言：本文中涉及到的相关漏洞已报送并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

系统是从一篇文章强特征提取，从而有了本次的渗透。

开局登录框:

弱口令+sql注入均无果，于是查看起js文件,从文件中也并未发现什么有用的信息。

根据findsomething存在/index.html，本来是想测试未授权，但是返回了需要鉴权的信息，也以失败告终。

但是这个时候转折点来了，根据这个路径再次查看js，发现多出了很多js文件。

尝试访问这些js，再度查看findsomething，发现了一个不寻常的接口。

/file/download?fileName=

这个接口判断为文件下载的接口，于是测试任意文件下载。

/file/download?fileName=../../../../../../../../../../root/.bash_history

通过这个位置成功下载了/etc/passwd等敏感文件，通过下载id_rsa则可上线ssh从而获取权限。原文到此为止。

但既然做了渗透，则更精细化的去挖掘一下。看过另一个佬的通杀思路，如果目标站点打不下去的时候，则找特征同类型站，从另一个站点的弱口令之类的挖掘其他漏洞再返回渗透目标站。

这里也是通过搜索引擎找到了一个弱口令站点。后台如下:

于上传位置测试，发现该接口就是初始js未授权接口。

/file/download?fileName=

但下一个则是上传apk，也是未授权+任意文件下载。

file/downloadApk?fileName=

算是发现了一个新接口。

此时又从js中去找，发现存在ueditor。之前没有很仔细去看，也是成功通过ue获取ssrf漏洞。

controller.jsp?action=catchimage&source[]=https://www.baidu.com/img/PCtm_d9c8750bed0b3c7d089fa7d55720d6cf.png

xss漏洞

Content-Type: multipart/form-data; boundary=----WebKitFormBoundarynJAiy5Qly8XpmZmQContent-Length: 322------WebKitFormBoundarynJAiy5Qly8XpmZmQContent-Disposition: form-data; name="upfile"; filename="1.xml"Content-Type: image/png<html><head></head><body><something:script xmlns:something="http://www.w3.org/1999/xhtml">alert(1)</something:script></body></html>------WebKitFormBoundarynJAiy5Qly8XpmZmQ—

再去回顾其他js，发现还有地图key的泄露。

这里感谢原作者的启发与指导。

在渗透测试中,常见漏洞未能渗透时,可以尝试深入分析JavaScript文件,寻找潜在的安全隐患和接口。

原文始发于微信公众号（shadowsec）：记一次js泄露致任意文件读取到getshell

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

记一次js泄露致任意文件读取到getshell

未授权服务加固与泛解析字符绕过

新系列之业务漏洞讲解导读

大模型10大网络安全威胁及防范策略

绕过关键字过滤并利用 Netcat 反弹 Shell 的完整流程

匿名技巧 - 呼叫转移

DNS 一响，漏洞登场！FastJSON 不出网探测全攻略

HessianServlet、HessianServiceExporter场景下的Payload

渗透测试常用专业术语

【论文速读】| 软件安全的大语言模型 (LLM)：代码分析、恶意软件分析、逆向工程

价值$10,000的漏洞

发表评论