记一次上传绕过getshell

2019/4/19 posted in  杂记

前几天挖漏洞,发现一个有意思的上传点,分享给大家。

因为漏洞已经被修复了,这里我就是以文字叙述为主。

首先进行信息收集,爬取了网站的目录信息,但是并没有什么收获(ASP网站)。

试试御剑扫描,发现存在/user目录。

1555663161550

提示需要登陆注册,(感觉这是个cms,机智的我找了找这个CMS的漏洞,然而并没有什么发现)

1

注册之后,发现头像修改处可以上传头像,我就喜欢着这种上传拿SHELL (这个网站没有WAF)

首先尝试了一张正常的JPG图片,发现返回随机名称.jpg

2

我们可以看到,请求的数据包中有个AutoReName字段很可疑,我们测试一下:

3

经过测试,发现为0的情况下不修改文件名:

4

尝试上传ASP文件:
(经过测试发现此处为白名单验证)
5

试试上传HTML文件:

6

00截断可以吗?

7

what? 上传成功?

8

好吧,是真的成功了。

试试asp~~

9

可以看到这里报的错误和刚刚是不一样的,我们完全有理由相信:
他对文件名进行了两次检查,第一次检查使用了白名单检查,此处第二次检查我们fuzz测试一下。

10

经过测试,发现ashx文件居然可以上传,哈哈哈哈哈,说明第二个是个黑名单检查。

访问刚刚上传的小马(文件内容不是图中的),发现没有办法解析。

11

尝试修改目录为根目录

12

哈哈哈哈,您有新的shell请查收

13

谢谢大佬观看