0x00：前言

https://github.com/J0o1ey/BountyHunterInChina

歡迎親們點(diǎn)個(gè)star

作者：RG@M78sec

某天測廠商業(yè)務(wù)時(shí)，發(fā)現(xiàn)其中有一個(gè)提供音樂播放業(yè)務(wù)的資產(chǎn)，正好里面有我想聽的歌，于是就有了這篇文章

0x01：信息收集

F12簡單看下目標(biāo)信息環(huán)境:

ServerSoft:IIS 7.5 CMS:JYMusic(ThinkPHP)

0x02：開搞和碰壁

抱著試試看的心態(tài)隨便找了個(gè)資源文件試了發(fā)解析漏洞，沒想到成功了，那么現(xiàn)在只需要找到上傳點(diǎn)就能getshell了。

• 常見的編輯器
  • Ueditor/Umeditor
  • Kindeditor
  • ckeditor/ckfinder
• 程序上傳點(diǎn)
  • 頭像/文章/附件…
  • 上傳組件

目標(biāo)站開放注冊，登錄后發(fā)現(xiàn)存在頭像上傳功能，原以為直接可以搞定了，結(jié)果卻不盡人意，應(yīng)該是二次渲染了。。。

試了上傳一些二次渲染后仍能執(zhí)行的Webshell后依然發(fā)現(xiàn)無法正常getshell，看樣得放棄頭像這個(gè)地方了

如有技術(shù)交流或滲透測試/代碼審計(jì)/SRC漏洞挖掘/紅隊(duì)方向綜合培訓(xùn) 紅藍(lán)對抗評估需求的朋友

歡迎聯(lián)系QQ/VX-547006660

0x03：柳暗花明又一村

既然頭像上傳走不通那么只能另尋出路，分享音樂功能被改成人工審核，但是猜測接口還是存在的。

這里通過fofa找到一個(gè)功能正常的站點(diǎn)，以下稱為www.bbb.com

這個(gè)站點(diǎn)的分享音樂功能是正常的

直接上傳音樂文件

文件正常上傳，但是沒有返回路徑emmm，提交試試。

wtf，沒有分類數(shù)據(jù)咋辦，祭出神器F12給select標(biāo)簽加一個(gè)有value值的option。

提示分享成功，查看審核列表也有了，編輯發(fā)現(xiàn)ID為23，首頁隨便點(diǎn)進(jìn)去一個(gè)發(fā)現(xiàn)id為21。

同時(shí)發(fā)現(xiàn)接口可以獲取音樂上傳路徑，替換為ID=23后取得路徑。

那么思路就來了，把www.bbb.com的操作在www.aaa.com重現(xiàn)一遍即可

直接把bbb.com上傳音樂文件的請求，移花接木到aaa.com上（burp改包host和cookie，提交時(shí)改fileid）。

通過解析漏洞訪問我們后綴名為MP3的webshell

至此成功getshell