声明:Tide安全团队原创文章,转载请声明出处!文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!

0x01目标

目标是一个登录的页面,
还有配套的验证码,手工尝试几次后放弃
因为存在waf所以路径一扫就封。

0x02历史漏洞

从这儿可以看到下面有开发公司的名称
于是直接去搜索公司+系统名称,结果在cnvd发现曾经的漏洞。任意文件上传漏洞。
漏洞详情中存在漏洞具体的路径,于是直接访问查看。
本以为是需要构造下数据包之类,这下鸭子喂到嘴里了。burp启动~ 选择文件-->
上传-->点不动!
竟然没有任何反应,猜测浏览器问题或者上传按钮被嘎掉了。IE启动~
依然不行,于是构造上传。
还是不行
返回页面依然是这个前段页面,所以需要找到真正的上传路径。

0x03照葫芦画瓢

既然cnvd收录了,那肯定不止有一个改系统,所以找一个相同的系统存在该漏洞的,然后替换数据包肯定行。
直接去fofa搜索公司,发现的确存在几套系统。大喜 !遂复制路径,继续开测。
结果发现上传按钮皆不行。
秉持着不能空军的原则,既然上传不行那我就开扫,扫不出来就爆破。于是就把搜集到的这几个站都扫描一遍,发现其中一个站存在目录遍历。
放眼望去全是上传,妙!
可以上传,返回路径!但是黑名单~
不甘心,于是挨个测试,发现aspx后缀非黑名单即白名单。asp后缀则有点问题。
白名单
无奈~

0x04峰回路转

本以为到此结束,想到了fileUpload_summernote.asp的空白页面
有没有可能它就是那个真正的上传路径,构造数据包试试
返回500~
因为上面上传正常图片给了一个路径
不死心的再来看看 嘿~您猜怎么着~ 它还真在啊!
拿下拿下,幸福来得实在突然。
回到目标上直接梭哈搞定。

0x05结语

在拿到权限后怀着好奇心又去看了看源码,首先是上传的黑名单 很明显是一个一个后缀去对比的,没啥好的办法。
然后又去看了看白名单。这里首先获取文件名--》文件名转成小写,然后通过获取到的文件名去和白名单做对比,如果没有白名单内容则“FilesType”!=1 然后提示只支持白名单文件。
那么问题来了这里他获取的是整个的文件名称,以及做对比的也是整个文件名称。
所以说并不是获取的后缀去做对比那么是不是就可以这样写然后绕过。123123.png.asp
绕过。收工!
往期推荐
敏感信息泄露
潮影在线免杀平台上线了
自动化渗透测试工具开发实践
【红蓝对抗】利用CS进行内网横向
一个Go版(更强大)的TideFinger
SRC资产导航监测平台Tsrc上线了
新潮信息-Tide安全团队2022年度总结
记一次实战攻防(打点-Edr-内网-横向-Vcenter)
E
N
D
Tide团队产品及服务
团队自研平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台  | ......
技术分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享
团队知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......
团队网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑  | ......
扫码加入一起学习吧~
继续阅读
阅读原文