前言
在一次攻防演练中遇到了某OA,未授权漏洞全部经过了认证,好在细节的挖掘成功getshell。
获取源码
image.png
先简单测试一下,用户名密码加密验证码有效,无法进行暴力破解。
寻找指纹,hunter搜索到同框架系统。
image.png
随便找了一个站点,admin/123456 登录系统。在系统内部寻找文件上传功能,成功getshell拿到源码。
image.png
未授权
在该系统里发现多个未授权上传页面。但在目标环境上访问全部302跳转。
image.png
一个一个寻找过于麻烦,不如获取所有的aspx、ashx文件进行遍历访问。
image.png
image.png
成功发现Ueditor 编辑器
image.png
但在目标环境上访问状态码显示550
image.png
目标getshell
停下来整理目标信息的时候发现在之前测试发现上传文件会保存在8022端口上。
这里改变端口重新fuzz路径。
发现存在FileUpload.ashx、MobileFileUpload.ashx上传页面。
image.png
FileUpload.ashx测试发现为白名单,且存在云waf。
image.png
MobileFileUpload.ashx可以进行任意文件上传。在boundary后加TAB键成功绕过云waf。
image.png
成功getshell。
image.png
网友评论