群里小伙伴发出一张没有打码的图片

大概意思说这是在某司论坛看到一个文章

他也想看一波文章。

你看就看了，为啥吧没有打码图片发出来呢，想让大家一起搞一波嘛。

结果看到他发的图(好久都没有搞渗透了。技巧确实没有了。。。。)

倒腾一波，显示没权限，并且需要有最高权限才可以看的。

我c。。。

你说你发出来不就是让人看的，设置一波255绝了。

接下来模仿大佬搞一波棋牌站点

我去没有见过。。。

来猜猜看密码

我去人品爆发啊

弱口令直接进去了

大家不会以为这样就完了吧？

什么后台上传sql注入一把梭不存在的。

找了半天没有找到。

陷入沉思...我这如此之菜。

后来看了看cookie发现6603admin这激起了我的兴趣。

网上搜所一波，结果是某狐棋牌网站

百度一波,看看有没有漏洞

结果还真找到了
https://www.uedbox.com/post/31921/

心里想:沃日这么easy

结果一访问沃日。

心中一万个曹尼玛涌过

综合某些资源发现了一个上传接口

fuzz了一波

发现永远都是0.

我c可能是文件名称不对

于是乎什么网站备份扫描。

目录扫描试了一波发现毛都没有。

又陷入了沉思。

忽然眼前一亮，我们不应该在一个地方死磕啊

于是,操起端口扫描工具对其进行了一波探测。

结果终于找到了突破口

找到一个端口竟然可以列目录。

我去看到一个tp的一个目录

然后点进去发现啥也没有显示

于是看了一波日志发现日志最近是11.20号的

看到了一个public

于是拼接一下果然网站出来了

既然是tp5,

你们懂得

拿自己写的武器去探测一下看看

接下来直接拿shell就行了。

拿shell过程如果有不会的直接百度一波看看。

接下来分析一下upload.ashx 拿出.net神器来分析一波

从这句代码来看

HttpPostedFile httpPostedFile = context.Request.Files["FileData"];

上传的名字应该是FileData。

如果不对那么永远都是返回0从这段代码就可以看出

string s = "0";

	context.Response.Write(s);

所以应证了猜想参数不对

从代码里面可以知道,他要调用一个函数来验证上传参数的扩展名是否在这个函数中。

一看函数凉凉了白名单验证

 publicstaticreadonlystring[] allowExtend = newstring[]

		{
			".jpg",
			".gif",
			".png",
			".bmp",
			".pdf",
			".xls",
			".xlsx",
			".doc",
			".docx",
			".rar",
			".txt"
		};

截断可以试试貌似截断只有在特定iis下才可以成功。

另外通过读代码我们发现他的命名规则是

string str2 = DateTime.Now.ToString("yyyyMMddHHmm") + "_" + httpPostedFile.FileName;

时间_我们上次的文件名称

如果是2003的系统我们可以直接用解析漏洞来拿到shell

<html>

<body>
<form action="http://xxxx/ashx/Upload.ashx" method="post"
enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="FileData"/>
<br />
<input type="submit" value="Submit" />
</form>
</body>
</html>

下面演示一下

在看别人搞得另外一套某狐网站登录处有注入

但是这个棋牌系统在此登录处直接过滤单引号。

并且做得是参数化因此登录处注入灭绝

另外发现那个上传点不是不存在了是被人改名字了

至此文章完结

来源：https://forum.90sec.com/t/topic/1470