一次峰回路转的getshell
扫目录发现 http://www.xxx.test.cn/bak/以及/bak/upload.jsp
上传抓包看返回包,没有回显路径
于是盲猜找上传文件夹,无果。回到bak目录发现可疑js
访问bak/login_js/login.js 找到一处后台地址
访问/bak/admin_manager1/index.jsp跳转到
随手猜测/bak/ms_login.jsp找到后台
爆破弱口令进去后台,发现后台功能简单,没有上传,也没有未授权,SQL注入之类
查看首页源代码
发现没有什么值得注意的也没有js继续跟进文件查看源代码最终在/bak/admin_manager1/sys/update_password.jsp下右键源代码看到fck
查看fck版本,尝试漏洞,无果,发现存在fck目录遍历的漏洞
/bak/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=/
到上一级目录
/bak/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../
到/bak/fckeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=../AlanX_Upload_Folder
发现此处为一开始upload.jsp上传文件目录,于是上传冰蝎马404,上传大马成功,后来发现上传的jsp文件必须要访问的时候有内容打印出来,才不会404实际上之前上传的冰一样可以连接