重生之我是赏金猎人-SRC漏洞挖掘(八)-记一次移花接木的GetShell

news2024/9/29 3:26:08

0x00前言

https://github.com/J0o1ey/BountyHunterInChina

欢迎亲们点个star

作者:RG@M78sec

某天测厂商业务时,发现其中有一个提供音乐播放业务的资产,正好里面有我想听的歌,于是就有了这篇文章

image-20201205160554474

image-20201205160121123

0x01信息收集

F12简单看下目标信息环境:

ServerSoft:IIS 7.5 CMS:JYMusic(ThinkPHP)

image-20201205203643549

image-20201205191133374

image-20201205160718252

0x02:开搞和碰壁

抱着试试看的心态随便找了个资源文件试了发解析漏洞,没想到成功了,那么现在只需要找到上传点就能getshell了。

image-20201205161100977

  • 常见的编辑器
    • Ueditor/Umeditor
    • Kindeditor
    • ckeditor/ckfinder
  • 程序上传点
    • 头像/文章/附件…
    • 上传组件

目标站开放注册,登录后发现存在头像上传功能,原以为直接可以搞定了,结果却不尽人意,应该是二次渲染了。。。

image-20201205202024748

试了上传一些二次渲染后仍能执行的Webshell后依然发现无法正常getshell,看样得放弃头像这个地方了

如有技术交流或渗透测试/代码审计/SRC漏洞挖掘/红队方向综合培训 红蓝对抗评估需求的朋友

欢迎联系QQ/VX-547006660

0x03:柳暗花明又一村

既然头像上传走不通那么只能另寻出路,分享音乐功能被改成人工审核,但是猜测接口还是存在的。

image-20201205204511930

这里通过fofa找到一个功能正常的站点,以下称为www.bbb.com

这个站点的分享音乐功能是正常的

image-20201205205151727

直接上传音乐文件

image-20201205205655805

文件正常上传,但是没有返回路径emmm,提交试试。

wtf,没有分类数据咋办,祭出神器F12给select标签加一个有value值的option。

image-20201205205828488

image-20201205210111667

image-20201205210324889

提示分享成功,查看审核列表也有了,编辑发现ID为23,首页随便点进去一个发现id为21。

image-20201205210448096
在这里插入图片描述

同时发现接口可以获取音乐上传路径,替换为ID=23后取得路径。

image-20201205212244888

image-20201205212804121

那么思路就来了,把www.bbb.com的操作在www.aaa.com重现一遍即可

直接把bbb.com上传音乐文件的请求,移花接木到aaa.com上(burp改包host和cookie,提交时改fileid)。

image-20201205213752008
image-20201205214238085
在这里插入图片描述

image-20201205214620472

通过解析漏洞访问我们后缀名为MP3的webshell

至此成功getshell

image-20201205214756710

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/349264.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

天翼云服务器如何限制端口仅限部分ip地址访问

大家好,我是雄雄,欢迎关注微信公众号:雄雄的小课堂。 前言 最近买了个服务器,没错,是天翼云的。 客户没有钱,买大厂的太贵舍不得,那就买个普通的吧,经媒人介绍,觉得天翼…

vue小案例

vue小案例 组件化编码流程 1.拆分静态组件,按功能点拆分 2.实现动态组件 3.实现交互 文章目录vue小案例组件化编码流程1.父组件给子组件传值2.通过APP组件给子组件传值。3.案例实现4.项目小细节1.父组件给子组件传值 父组件给子组件传值 1.在父组件中写好要传的值&a…

5min完成linux环境Jenkins的安装

5min搞定linux环境Jenkins的安装安装Jenkinsstep1: 使用wget 命令下载Jenkinsstep2、创建Jenkins日志目录并运行jekinsstep3、访问jenkins并解锁jenkins,安装插件以及创建管理员用户step4、到此,就完成了Finish、以上步骤中遇到的问题1、 jenkins启动不了…

Python爬虫(5)-selenium用显式等待、隐式等待、强制等待,解决反复爬取网页时无法定位元素问题

之前的文章有关于更多操作方式详细解答,本篇基于前面的知识点进行操作,如果不了解可以先看之前的文章 Python爬虫(1)一次性搞定Selenium(新版)8种find_element元素定位方式 Python爬虫(2)-Selenium控制浏览…

MybatisPlus实现分页效果并解决can‘t found IPage for args!错误

前言 早就知道MybatisPlus对分页进行了处理,但是一直没有实战用过,用的是自己封装的一个分页组件,虽不说麻烦吧,但是也不是特别简单。 写起来还是比较复杂,但是最近这个组件有了点小小的bug,我决定是时候…

公网连接内网工具推荐(还在为局域网联机发愁?)

一、FastNat可为您解决的问题1.没有公网服务器,需要发布本地的站点或网络程序到公网上,供他人访问;此项功能大大方面开发人员进行远程调试,微信小程序等开发工作进行。2.需要远程到在其他网络中的设备,但两处的网络不通…

安装ENVI Py for ArcGIS

目录 软件版本 配置环境 在cmd命令行中输入 启动ArcGIS Pro,点击Start with another template。 在刚才的路径中找到文件ENVIPyManagement.aptx,点击OK。 软件版本 ArcGIS Pro 3.0.2 ENVI 5.6 其他版本请参考官方帮助文档,方法类似。 …

五、HTML之表单

文章目录一、表单的作用1.1 常用控件1.2 宽高自适应1.3 窗口自适应1.4 伪元素选择器1.5 浮动高度塌陷问题1.6 左侧一栏为200px余下的右边栏占余下屏幕一、表单的作用 表单用来收集用户的信息。 语法&#xff1a; <form action "提交地址" method"提交方法…

3.3 ISIS引入路由

实验目的掌握IS-IS引入直连路由的方法掌握IS-IS引入静态路由的方法实验拓扑IS-IS引入路由的实验拓扑如图3-2所示: 图3-2:IS-IS引入路由 实验步骤IP地址的配置R1的配置 <Huawei>system-view [Huawei]undo info-center enable

【实战场景一】设计一个分布式环境下全局唯一的信号器

前面&#xff0c;我们罗列了一些面试时可能会到的一些技术上的问题。但都是基于理论&#xff0c;也就是外面所说的八股文。应付一些基础的或者中级的开发岗位来说&#xff0c;是没什么问题的&#xff0c;但如果想拿高薪&#xff0c;或者升职的话&#xff0c;仅靠八股文是仅仅不…

2022年直播电商成交额,更是达到了24816亿元的成交额

近年来移动网络覆盖率、网速提升&#xff0c;直播行业不在是陌生的行业&#xff0c;直播也诞生了繁多的领域&#xff0c;游戏直播、户外直播等&#xff0c;当然还有今天的主题“直播带货”。直播带货是线上销售模式的一种&#xff0c;由衷是为了更好的把商品展示给用户观看&…

【Redis】Redis 常用数据类型操作 ② ( 数据库操作 | 切换数据库 | 查询当前数据库键个数 | 清空当前数据库 | 清空所有数据库 )

文章目录一、Redis 数据库操作1、切换数据库2、查询当前数据库键个数3、清空当前数据库4、清空所有数据库一、Redis 数据库操作 在之前的博客 【Redis】Redis 数据库 安装、配置、访问 ( Redis 简介 | 下载 Redis 安装包 | 安装 Redis 数据库 | 命令行访问 Redis | 使用可视化工…

保姆级Vue3+Vite项目实战正则在线校验工具

写在前面注&#xff1a;本文首发掘金签约专栏&#xff0c;此为文章同步&#xff01;本文为 Vue3Vite 项目实战系列教程文章第五篇&#xff0c;系列文章建议从头观看效果更佳&#xff0c;大家可关注专栏防走失&#xff01;点个赞再看有助于全文完整阅读&#xff01;此系列文章主…

为什么PMP的含金量会被质疑呢?(含pmp资料)

1、考的人越来越多&#xff0c;物以稀为贵&#xff0c;且PMP也不是非考不可&#xff0c;也不是项目管理的门槛证书&#xff1b; 2、PMP的通过率是越来越高&#xff0c;就有种我上我也行的错觉&#xff0c;随便一考就考过了&#xff0c;还谈什么含金量&#xff1f; 3、PMP考了不…

Windows中MySQL 8.x版本忘记密码如何重设

Windows中MySQL 8.x版本忘记密码如何重置 文章目录Windows中MySQL 8.x版本忘记密码如何重置一、前言二、重置密码操作1、停止MySQL服务2、以安全模式启动MySQL服务3、无密码登录mysql4、重置登录密码5、验证密码是否重置成功三、最后我想说一、前言 好久之前在电脑下载的MySQL…

【Linux】初学Linux你需要掌握这些基本指令(二)

目录 1.man指令 2.cp指令 3.mv指令 4.tree指令 5.echo指令 6.more指令 7.less指令&#xff08;重要&#xff09; 8.head与tail指令 9.date指令 显示时间常用参数&#xff1a; 设置时间常用参数&#xff1a; 10.cal指令 11.find & whereis & which指令 …

为知笔记 wiz 支持实时预览的md markdown编辑器 对比 typora Vditor

1.为什么退回到为知笔记老版本 升级到为知笔记最新版(wiznote X)已经快一年了(最近编辑文档不多,所以一直也将就使用,并且告诉自己习惯了新版就会更舒服),最近还是退回到老版本了. (1)新版本没有了顶部编辑菜单,全靠号提示,感觉不方便.好像在用命令行编辑文档.完全不喜欢这种…

OpenCV Canny边缘检测

本文是OpenCV图像视觉入门之路的第13篇文章&#xff0c;本文详细的介绍了Canny边缘检测算子的各种操作&#xff0c;例如&#xff1a;Canny算子进行边缘检测等操作。 Canny函数是OpenCV中用于执行边缘检测的函数之一&#xff0c;其参数包括&#xff1a; threshold1&#xff1a;…

【NVMEM子系统】一、Efuse介绍及安全启动浅析

个人主页&#xff1a;董哥聊技术我是董哥&#xff0c;嵌入式领域新星创作者创作理念&#xff1a;专注分享高质量嵌入式文章&#xff0c;让大家读有所得&#xff01;文章目录1、Efuse是什么2、OTP是什么3、什么是Secure Boot4、CPU内部安全机制4.1 bootROM4.2 iRAM4.3 eFUSE4.5 …

高通开发系列 - USB不能正常工作

By: fulinux E-mail: fulinux@sina.com Blog: https://blog.csdn.net/fulinus 喜欢的盆友欢迎点赞和订阅! 你的喜欢就是我写作的动力! 返回高通开发系列 - 总目录 目录 USB不能正常工作问题概述问题分析USB不能正常工作 问题概述 升级完linux内核后,msm-4.9内核中usb、adb…