当任意文件上传偶遇Safedog

zhaorong · 发表于 WEB前端技术 2021-4-26 16:55:21


	0x01 写在前面渗透过程中可能会经常遭遇WAF 此时不要轻易放弃绞尽脑汁竭尽全力或许弹尽粮绝之时也是柳暗花明之日。 0x02 过狗上传一次项目渗透过程中找个一处上传功能先上传图片测试上传功能是否正常功能正常那么我们尝试上传木马出现了安全狗，asp后缀直接被拦截了尝试asa后缀：还是不行再次尝试cer cdx aspx asmx ashx等后缀都失败了网站中间件是IIS7.5 已测试不解析php，自然也不会有解析漏洞。这个时候我们发现上传表单中存在filelx参数值为jpg 那么思路来了修改为asp再次尝试提示文件类型无法上传修改为其他非jpg后缀时都是相同提示猜测这里应该是白名单过滤。测试发现参数filepath控制上传路径并且可以随意更改我们简单尝试下。这里我们发现了一个非常有趣的现象当我把路径改为upload/a时上传文件路径就变成upload/a时间戳.jpg 这时我们灵感来了，如果我把路径后面的时间戳.jpg截断会发生什么？我们果断构造路径upload/a.asp%00 %00用shift+ctrl+u转换下提交数据包： bingo，这里结果和我们预想的一样浏览器访问一下：文件存在但是出现了错误没关系我们传下正常的asp webshell几经尝试之后我们终于通过脏数据+shell代码成功上传webshell。 0x03 执行受阻拿了shell我们当然是上蚁剑梭哈了：但是蚁剑提示了黑名单URL地址这倒是从来没有遇到过百度搜索也无果这里更换菜刀尝试一下有狗那么我们优先尝试过狗刀：失败，继续尝试其他版本菜刀。这里又尝试了11版菜刀 14版菜刀 16版菜刀 CKnife Altman 结果不尽人意全部失败了。不得已，我们直接祭出网页版webshell管理工具，成功连上webshell: 但是网页版实在是太蛋疼了这里通过网页版上传冰蝎马成功连上冰蝎：但是此时高兴似乎还太早执行命令没有反应：更换aspx马再次执行： 0x04 成功提权更换aspx马后执行命令提示拒绝访问想到可以手动上传cmd.exe 再调用执行即可但是冰蝎没有右键虚拟终端的功能所以我们上传一个aspx大马：调用上传cmd.exe尝试执行命令：再次失败但是没有关系办法总比困难多。这里想到既然网站支持.net脚本那么极有可能使用SQLserver数据库翻找一下文件查找配置文件：没过多久我们便发现了sa账号密码此时终于可以露出猥琐的微笑：管理员权限！打完收工。

微信扫一扫 分享朋友圈

当任意文件上传偶遇Safedog

微信扫一扫分享朋友圈