微信公众号：渊龙Sec安全团队
为国之安全而奋斗，为信息安全而发声！
如有问题或建议，请在公众号后台留言
如果你觉得本文对你有帮助，欢迎在文章底部赞赏我们

0# 前言

越来越卷，受苦的只有打工人，Hw只会吃力不讨好
为了不必要的，本文会打码很严重，各位师傅见谅

欢迎各位师傅来关注我个人的公众号哈哈~ 

1# 环境介绍

• 目标系统：Windows Server 2016

• 中间件：IIS10 / Asp.Net4.0

• 目标IP：55.55.55.55（无法透露真实IP，此为假设）

2# 入口点

提供的靶标为：http://55.55.55.55:8111/
是个大官网，找不到什么可利用的点，而且IP封的太快了

于是开始端口扫描，经过好几个IP的分段扫描，发现了几个端口（因为IP封禁太快，这里端口分开跑一下），发现了以下资产：

• http://55.55.55.55:8411/   （地市的系统）

• http://55.55.55.55:6611/   （省直的系统）

细看这两个都是同一个框架的，测试发现两个都存在弱口令admin/123456
同时发现地市的资产对IP封禁很少，省直的资产封IP嘎嘎快

于是首选地市的资产，发现后台没有上传点，js分析也没有发现upload相关的上传，放弃
不得已，转到省直的目标找到了几个上传模块，发现上传接口都是同一个

3# 文件上传点

在上面的省直的系统中找到几个上传模块，如下：

1假设文件上传为：http://55.55.55.55:6611/aa/bb/up1oad
2文件上传路径为：http:/55.55.55.55:6611/image,/2023/test.png

4# 文件上传尝试绕过

4.1 后缀绕过

首选别名绕过，发现目标asmx后缀名是可以上传的

发现访问进行了URL跳转：

1http://55.55.55.55:6611/500.html?=/image/2023/test.asMx

我的第一反应是，这是linux的吗？aspx能在linux上跑吗？
还特意去google-一下，发现linux应该是可以跑aspx的

这里也利用了png改成pnG的方式，但是目标报错（假设是linux先测试一波）
既然是假设目标系统为Linux，第二次上传了asmx

发现访问也进行了URL跳转，如下：

1http://55.55.55.55:6611/500.html?=/image/2023/test.png.asmx

4.2 补充说明

目标这个系统框架，在2020年HW的时候被文件上传绕过一次了：

当时的文件上传绕过方式如下：

指定是改了文件上传的校验，又想到自己曾经遇到过这种情况，可以试试看
当时访问也是这种500，不过当时那个是Liux系统跑的jsp（利用 ; 可以绕过正常访问）

这里利用 ; 也无法正常访问，到这里就不用考虑系统，只需要考虑后缀名即可

又想到有一次文件上传绕过，当时无法访问是因为文件后缀和文件内容不匹配，比如：a.asp 内容需要全部是asp内容

详细可以参考一下我之前写的:
https://www.t00ls.com/thread-62556-1-1.html
或者
https://www.freebuf.com/articles/web/270385.html

假设asmx可以成功，接下来就是考虑内容检测的问题了
内容检测，不知道是什么检测机制，对一些字符的拼接有拦截，以下是asmx的头部测试：

asmx的马子，本身是不会asp的，对免杀陷入沉思
不停的搜文章，发现所有的文章大多数都是同一个师傅(Ivan1ee)写的
然后发现有这个师傅(Ivan1ee)的好友，Ivanlee师傅有问必答我爱死了

访问还是无法访问，到这里就感觉可能不是免杀的问题，还能是后缀问题，（该退就退，不能一条路写到黑，其实是已经耗时一天了，Hw中一天是什么概念！)

这里就测试其余后缀是否可以绕过

4.3 继续绕过后缀

一边请教，一边百度，和好朋友一起终于可以上传 .asp 了
不同fuZZ，耗时一晚上（应该还能简化，这里直接能用，没有再详细追究）

1Content-Disposition: form-datA*;;;;;;;;;;;;;;name="file";;;;;;;;;;;;;;;;;;;;;
2filename1123="1.aspx";$20 filename="test.asp"
3Content-Type: multipart/form-data; boundary= ---------------------------

备注：没有细究是否可以简化，成功上传asp

主要是能访问上传的 .asp 文件！

要成了，要成了！测试上传helloworld

发现gg了，内容检测还需要绕过，于是就慢慢测试内容，发现和上面的检测一样
试过了各种编码免杀，发现目标的WAF有点难搞
（这里省略测试了N次，差不多花了一上午的时间）

这里coffee123456表哥提示可以试试执行时间命令：<%=now()%> 输出当前主机时间，发现成功了！

但是测试别的内容仍是无法上传文件

4.4 最终文件上传内容检测绕过

都到了这里，怎么可能放弃呢？

关键就在：Content-Encoding:
百度了一下 Content-Encoding 绕过文件上传，发现很多文章

经过测试发现只要 Accept-Encoding: 和 Content-Encoding: 编码相同即可绕过

解释一下：
Accept-Encoding 设置在请求头当中，会告诉服务器，我可以接受哪种编码压缩
Content-Encoding 设置在响应头中，会告诉客户端，我用的是哪种编码压缩，但也可以放在Header头上

4.5 最终绕过文件上传的方式

内容检测绕过：

1Content-Encoding:

后缀绕过Fuzz：

1Content-Type: multipart/form-data; boundary= ---------------------------
2Content-Disposition: form-datA*;;;;;;;;;;;;;;name="file";;;;;;;;;;;;;;;;;;;;;
3filename1123="1.aspx";$20 filename="test.asp"

最终内容如下：

1Content-Encoding:
2Content-Type: multipart/form-data; boundary= ---------------------------
3Content-Disposition: form-datA*;;;;;;;;;;;;;;name="file";;;;;;;;;;;;;;;;;;;;;
4filename1123="1.aspx";$20 filename="test.asp"

成功上传 .asp 的木马文件

注：asp的权限比较低，后续上传了aspx进行后渗透

5# 提权

提权的过程耗时1天，你问我为啥提权（普通用户100分，管理员可能5000分）

老思路：利用反射去提权，上线CobaltStrike，查看系统补丁状态
先用了 printspoofer 反射进行提权，发现无法提权

尝试过以下方法：

• printspoofer

• SweetPotato

• PrintNotifyPotato

• DCOMPotato

• SharpEfsPotato

• LocalPotato

• PetitPotato

发现反射都没成功
注：之前都是利用CobaltStrike反射去绕过，但在搜索文章过程中，发现Windows Server 2016对反射进行了一些补丁，导致之前的反射方式会被查杀

最终用的DCOMPotato成功提权，项目地址如下：

1https://github.com/zcgonvh/DCOMPotato

当然需要免杀了~ 免杀哪里来的，当然要找好兄弟！

6# 总结

总共耗时2天多，不知道换了多少次IP地址
不知道为啥现在写起来有点索然无味，感觉当时好笨
希望各位师傅能从我这里学到一些文件上传ByPass的思路

我是G0mini，我在渊龙Sec安全团队等你
微信公众号：渊龙Sec安全团队
欢迎关注我，一起学习，一起进步~
本篇文章为团队成员原创文章，请不要擅自盗取！