0x01 前言
大佬给了个上传点,说是这个点足够写一篇教程了,遂尝试一下,看自己得行不。
上传点如下:
https://subdomain.target.com/UpLoad/UpLoad.aspx
访问之,302跳转到User_Status
阅读本篇文章能了解到:上传, getshell
0x02 猜测参数
没有任何功能点,显然是需要猜参数了,与其说是猜测不如说是构造,使用通用表单上传参数
1 | Content-Type: multipart/form-data; boundary=--------1036030574 |
oneForm
显然response并无变化,也没有上传成功的提示,更换几个常用的name,filename后一样无果
无头苍蝇般的猜测显然不行,查看源码找找有用信息
并无有价值信息,进一步查看js,jquery忽略不看,直接看第二个comfun.js
view-source
随便翻翻,果然发现点有用的东西,函数UpLoadPic
comfun.js-uploadPic
直接访问/UpLoad/UpLoadPic.aspx,一样302跳转到User_Status
uploadPic302
尝试把函数中的参数全部构造成表单提交
1 | ----------1036030574 |
上传页面出现了
uploadPic-post
果断上传asp,提示白名单
uploadPic-asp
iis8.0 并无解析漏洞,随便试试,爆出绝对路径D:\web_root\UpLoad,不知是否有用,先留着
root_path
继续fuzz,发现无法绕过,就连白名单的jpg都无法上传,经过多次fuzz,txt可上传,并返回文件名
uploadPic-txt-1
根据上述绝对路径,直接加在/upload/,得到相对路径
uploadPic-txt-2
0x03 getshell
经测试,该上传点白名单无法绕过,遂放弃,另辟蹊径
继续回头看js,函数UpLoadPic下还有函数UpLoadFile
comfun.js-upload
同理构造表单上传,看到档案格式不限,感觉希望来了
upload-post
直接梭哈asp
upload-asp
哦豁,getshell!
getshell
0x04 总结
该篇重点在于构造表单参数,在扫到一些上传页面无按钮时不要放弃,猜测参数有时能一击必杀
另外header中boundary=--------1036030574不可缺少,表单分割线要保持一致
至于后面的就是找对功能点,任意上传了。
来源:https://redn3ck.github.io/2019/10/18/%E4%B8%8A%E4%BC%A0-%E7%8C%9C%E6%B5%8B%E8%A1%A8%E5%8D%95%E5%8F%82%E6%95%B0getshell/作者:redn3ck如有侵权,请联系删除
推荐阅读
星球部分精华内容推荐
其他更多精彩内容,欢迎加入我们的星球
如有侵权请联系:admin#unsafe.sh