本帖最后由 Grav1ty 于 2021-10-24 14:49 编辑
原文链接:记一次略微曲折的上传
溢出Content-Disposition:字段,思路很赞
0x01 前言 上面给了个任务,一看,地图系统,懵逼了,这种的系统一般就是调个百度地图的api,无交互,想要挖洞简直难上加难...
一波信息收集后,发现该主站一个功能可以跳转到该单位的微信公众号,且存在上传点,因此有了本文。
0x02 FUZZ 有了上传点,废话不多说先看看后缀能不能过。先传一个图片,更改后缀尝试上传
直接没了,难道是白名单吗,尝试随意后缀上传 发现可以上传,可能是存在waf?直接传内容为一句话,看看会不会被拦截 结果没被拦截,应该是代码对后缀做了一些操作。接下来就是一顿fuzz,搞了半天发现后缀名这边是过不去了,换行大法直接报错 拿出之前过安全狗的方法试了一下,溢出Content-Disposition:字段。 竟然就这么成功了...
0x03 又一个问题 现在传是传上去了,但是没有返回完整路径,也不知道传哪儿去了,这咋整?
扫当前目录啥也没扫到,然后扫了波一级目录,发现存在upload目录。
尝试拼接,成功getshell
| 
发表于 2021-10-24 14:48:10