又是一个深夜，记录前段时间测试的过程。唉，每次小有所学就要懈怠一会。全文高强度打码。

0x00 一个登录框

aspx写的页面，应该是Windows服务器。顺手点了一下找回密码，需要提供注册使用的邮箱，没有提前搜集邮箱信息，放弃任意密码重置。

爆破密码，超过一定次数锁定账户，登陆频繁ban IP，放弃暴力破解。

尝试SQL注入，失败。

F12审查元素，发现了二维码登录的接口，但是无法访问。看来，只能从用户注册入手了。

0x01 任意账户注册

嗯，只需要点一下这里，或者那里，就可以完成账号激活操作。看了一下链接，有点意思。

http://x.xx.com/x.aspx?userName=aaa&Tomail=bbb&passWord=ccc

刚好包含了我注册的用户信息，那么，如果我直接构造一个URL，点击之后是不是就能跳过邮箱验证来激活账号了？

是个投稿的页面，随便点点浏览一下，没有什么东西，功能不怎么多。

嗯，这一大串一大串的大小写字母+数字等号，不是base64吗。一段一段地解码，有的解不开，疑似经过加密；有的解开了，是无用参数。解到图上这一段，就有点意思了。

但是仔细看看，这几个密文的开头都一样，根据base64的编码规则，说明明文的开头也一样，那么这几个到底是什么玩意呢。

激动地将jpg改成了aspx，小心翼翼地编码回去，放包。

既然这windows服务器能跑aspx，那asp是不是也能跑？小心翼翼地重新抓包，三层解码，这次我把aspx、asp都加到白名单里了，再小心翼翼地编码回去。

复制链接，访问了一下，500内部错误。不错，说明脚本上传了，而且被运行了。

OK，不再深入。

这次测试花了一个下午，拿到了一个第三方编辑器的任意文件上传0day，成功提权收获颇丰。

文章来源：Woojay's Blog原文地址：https://blog.blankshell.com/2020/02/26/绝路逢生出0day-system权限内网漫游/

 还在等什么？赶紧点击下方名片关注学习吧！

推 荐 阅 读