广东省城乡建设厅网站,怎么做降落伞制作方法,wordpress 同城生活,114网站制作0x00#xff1a;前言
https://github.com/J0o1ey/BountyHunterInChina
欢迎亲们点个star
作者#xff1a;RGM78sec
某天测厂商业务时#xff0c;发现其中有一个提供音乐播放业务的资产#xff0c;正好里面有我想听的歌#xff0c;于是就有了这篇文章 0x01#xff1a;…0x00前言
https://github.com/J0o1ey/BountyHunterInChina
欢迎亲们点个star
作者RGM78sec
某天测厂商业务时发现其中有一个提供音乐播放业务的资产正好里面有我想听的歌于是就有了这篇文章 0x01信息收集
F12简单看下目标信息环境:
ServerSoft:IIS 7.5 CMS:JYMusic(ThinkPHP) 0x02开搞和碰壁
抱着试试看的心态随便找了个资源文件试了发解析漏洞没想到成功了那么现在只需要找到上传点就能getshell了。 常见的编辑器 Ueditor/UmeditorKindeditorckeditor/ckfinder 程序上传点 头像/文章/附件…上传组件
目标站开放注册登录后发现存在头像上传功能原以为直接可以搞定了结果却不尽人意应该是二次渲染了。。。 试了上传一些二次渲染后仍能执行的Webshell后依然发现无法正常getshell看样得放弃头像这个地方了
如有技术交流或渗透测试/代码审计/SRC漏洞挖掘/红队方向综合培训 红蓝对抗评估需求的朋友
欢迎联系QQ/VX-547006660
0x03柳暗花明又一村
既然头像上传走不通那么只能另寻出路分享音乐功能被改成人工审核但是猜测接口还是存在的。 这里通过fofa找到一个功能正常的站点以下称为www.bbb.com
这个站点的分享音乐功能是正常的 直接上传音乐文件 文件正常上传但是没有返回路径emmm提交试试。
wtf没有分类数据咋办祭出神器F12给select标签加一个有value值的option。 提示分享成功查看审核列表也有了编辑发现ID为23首页随便点进去一个发现id为21。 同时发现接口可以获取音乐上传路径替换为ID23后取得路径。 那么思路就来了把www.bbb.com的操作在www.aaa.com重现一遍即可
直接把bbb.com上传音乐文件的请求移花接木到aaa.com上burp改包host和cookie提交时改fileid。 通过解析漏洞访问我们后缀名为MP3的webshell
至此成功getshell
