记一次曲折的黑盒oa到通杀getshell
2023-3-21 17:18:50 Author: www.secpulse.com(查看原文) 阅读量:45 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。

周末闲来没事干,分享下周末挖的一个垃圾0day

直接弱口令进去

目的明确,找找上传点

原来是小黑子(黑名单)

直接jspx上传看看

上传成功,但你到是给我返回路径啊,复制上面的看看

我干,直接下载出来了,直接f12看看找找jpg路径

发现还是有相同时间命名的文件,Fuzz路径看看,应该2015是时间,logo是上传参数,最后是时间命名文件

全是400

真是多看一眼就爆炸,再近一点靠近点快被融化

再找找别的图片路径看看有没有发现,翻着翻着看见一个小喇叭,出于好奇点开看看

点开看看,开启f12大法

突然这个时候想到,找个人设置瞅瞅,说出来不怕笑话,找个人设置找了半小时,Tm的藏这么深

你大爷的

不急,咱们获取下路径就行,上传jpg看看(上传的照片是他之前的)

然后拼接看看

可行,我以为前段只是js校验的时候是我想多了。

啥也不返回,然后我对比前面上传的包,一个path参数=cooperate,一个是=peopleinfo,原来path参数就是文件夹命名

那还说啥,直接拼接下机

我真的会谢,我以为是我搞错的时候,上传个txt看看

没毛病啊,难道是这个目录不解析jspx
根目录是解析jspx的,所以尝试下path参数跨目录
报500,不支持跨目录?,尝试下用/
上传成功
也不行,上传txt确可以跨了个目录
也试了编码这些,正当准备提桶跑路的时候,想到../不行试下..
**的艺术
正当准备复制连接的时候,不小心点快了,吧页面删了,直接重新传个命令马

愉快的周末,现在终于能下机了

文章来源:先知社区(呱呱yyy啊)
原文地址:https://xz.aliyun.com/t/12282

本文作者:潇湘信安

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/198028.html


文章来源: https://www.secpulse.com/archives/198028.html
如有侵权请联系:admin#unsafe.sh