SRC赏金猎人—笔记一

以下是我如何将 webshell 上传到一个旧目标中,

这是使用谷歌dorks,Js检查和文件上传过滤器绕过。

过程

1、我随机选择了一个范围很大的目标开始

2、我启动了自动化脚本来发现使用的技术、domains、IP...

3、我找到了一个叫 intranet.redacted.com子域名,使用的服务器是IIS 8或7,我不记得了..

4、我立即通过以下方式运行IIS短名称扫描程序工具(再次感谢这个惊人的工具)并获得了所有短名称的列表......服务器正在托管一些.zip .7z和.rar文件,但我无法猜测完整的文件名(但这表明服务器可能很旧......)

5、之后,我复制了子域并在谷歌上使用它,看到服务器已经在谷歌上索引(到目前为止一切顺利)

6、谷歌正在索引一些我使用普通单词列表找不到的路径..我访问了一些页面并使用chrome上的视图源代码来读取一些JS文件

7、一个吸引人的 Js 文件包含同一服务器 /ADM/uploadhandler.ashx 上的一些其他端点,以 POST 作为默认方法和一些数据......

8、我尝试在 /ADM 下暴力破解一些页面,并找到了无需身份验证的上传路径

9、我上传了一个简单的图像以查看发生了什么,然后服务器使用上传图像的完整路径进行响应。(很好,至少我知道图片在哪里上传)

10、我尝试上传Webshell aspx,但有一个过滤器阻止我上传此类文件..

11、然后我去除了图像内容,只将图像扩展名更改为aspx,以查看是否可以首先上传该类型(是的,它已上传)

12、现在我所做的是我留下了图像标题并删除了所有其余的图像内容,并使用webshell代码对其进行了更改...(它有效,现在上传了网络外壳)

13、现在我知道在哪里访问webshell...和一切..RCE

要点 :

1、永远不要让目标中解决的大量报告阻止您狩猎,猎人可能会忘记测试某些东西..在巨大的范围内,总会有漏洞.总是测试并再次重新测试..

2、始终在您的测试中包含谷歌多尔金和 JS 检查......因为对隐藏路径/目录的暴力破解并不总是好的,您可能会错过很多......

3、永远不要低估你的方法,总是深入挖掘..并且总是在狩猎时阅读,尤其是当您需要旁路时......

注意:我为此漏洞支付了 2250 美元而不是 3000 美元(最高支出),因为我不应该在目标服务器中上传 webshell(我做了相反的事情)

posted @ 2023-06-07 09:53  mt0u  阅读(202)  评论(0编辑  收藏  举报