奇安信攻防社区-记一次文件上传的曲折经历

记一次文件上传的曲折经历

### 信息收集

接到目标以后先信息收集，得知：

- 登录使用的shiro组件
- 获得低权限账号一枚，xxx/xxx

尝试过后发现shiro组件不存在反序列化漏洞，只能通过后台进行攻击。

### 任意文件上传-不解析

头像上传处，存在任意文件上传，但是jsp却不被解析。

![](https://shs3.b.qianxin.com/butian_public/f1ff7442235cbbd7a20917ca25a4a514c.jpg)

![](https://shs3.b.qianxin.com/butian_public/f6967c1fdb81e587924793f7c6fbe2191.jpg)

且数据包中无控制路径的参数。

### 任意文件上传-跨目录

因为上传无果，且账号功能很少，没什么搞头，于是在账号的通讯录功能中收集了一批高权限管理员账号进行登录，发现了其他的上传点。

![](https://shs3.b.qianxin.com/butian_public/f5eba01247fa0207922e9f7c7f3a6479a.jpg)

数据包如：

![](https://shs3.b.qianxin.com/butian_public/f6c1fc90dfbae4b44526542f22b0f799a.jpg)

这里面返回了两个路径，分别是id参数和url参数的路径，id参数的路径是绝对路径，而url参数的路径是web能访问到的，因此猜测是管理员设置了映射，将静态资源映射了个URL。

证明如下：

![](https://shs3.b.qianxin.com/butian_public/fab239bc23192f1006be9af26c5142ed2.jpg)

文件写入成功，但是却访问不到：

![](https://shs3.b.qianxin.com/butian_public/f745a0b119a6d092900d36b8152d0230c.jpg)

原因是因为：`/home/weblogic/userfiles/`映射给了`/luxxx/userfiles/`这个URL,所以再往前的目录下，我们就访问不到了。这里还有个坑就是waf，`../`超过3组的时候就拦截了，使用`../..//../`即可绕过。

那现在的任务就是找到web的绝对路径就可以传shell了。

### 任意文件操作-删除

在测试过程中，发现真的是各种文件操作都存在问题。也是相辅相成间getshell了。

首先看到的是任意文件删除，

![](https://shs3.b.qianxin.com/butian_public/f4ad7f0e7ab280a29ac08fccaa484133b.jpg)

数据包：

![](https://shs3.b.qianxin.com/butian_public/fd834c3530b5c663b26d1c6d0c45d4c78.jpg)

但是没什么用，目标是打内网，不是搞破坏。

#### 任意文件操作-读取

这个要在系统管理员账号里面才有的功能，我们第二步拿到的账号只是一个普通管理员，还没这个功能，也是在创建用户那加了个系统管理员权限的用户才找到的功能。

![](https://shs3.b.qianxin.com/butian_public/f224e0c47b39abd6a51a29713369cd23b.jpg)

然后登录账号，有个文件管理的功能。

![](https://shs3.b.qianxin.com/butian_public/f251a4f26bd6a689bf276519bee9f95be.jpg)

就是在下载功能中存在任意文件下载。

![](https://shs3.b.qianxin.com/butian_public/f0206b5067590da7cac23e94c4c5011ab.jpg)

![](https://shs3.b.qianxin.com/butian_public/f8a32f6c788373de30fc8c4645aecede0.jpg)

尝试下载.bash\_history

![](https://shs3.b.qianxin.com/butian_public/fcb6e2d4adce6f305a7acd93c55a021b5.jpg)

然后写入shell，如下：

![](https://shs3.b.qianxin.com/butian_public/fe07931c900f20e5a72ca26fc45dc4547.jpg)

访问，404：

![](https://shs3.b.qianxin.com/butian_public/fd97e4485a0a7056e0595993426ed753b.jpg)

尝试读取一下。

![](https://shs3.b.qianxin.com/butian_public/f9a5eb7ddddb96638e7368d1400f4cbf1.jpg)

文件存在，却访问不到。只能说明web目录找错了。

### 任意文件操作-文件移动

还是没办法，在测试其他功能的时候，发现有文件移动的功能，于是想上传一个cron，来反弹shell。

![](https://shs3.b.qianxin.com/butian_public/f91e3b61c9c050994e3b7e58735189508.jpg)

这样没有权限，拉闸。

### 获取网站路径-getshell

没办法了，再研究下.bash\_history吧，说不定有其他的发现。

tomcat配置文件：

![](https://shs3.b.qianxin.com/butian_public/fdc92964eeee39229b41a22f3a8db7ef1.jpg)

找到了web目录：

![](https://shs3.b.qianxin.com/butian_public/f02a154db0e0313f538420772588f3e72.jpg)

上传：

![](https://shs3.b.qianxin.com/butian_public/f4ab4e420b51924f2cc552b6885d4d9de.jpg)

![](https://shs3.b.qianxin.com/butian_public/fbd6cc1604d79e41ab65ffe6e00b76d24.jpg)

到这里就成功getshell了。

发表于 2021-04-07 20:16:45
阅读 ( 8335 )
分类：WEB安全

1 条评论

Johnson666 2021-04-13 20:05

是真的曲折呀~