转于:呱呱yyy啊 潇湘信安 2023-03-30 08:30 发表于湖南
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
0x00 前言
0x01 正文 不同的系统,加载的同一套第三方上传框架
看看对应端口打开没
存在,打开是空白
fuzz下上传的接口,404
打开之前拖出来的代码看看还有那些接口来着
直接搜索关键词upload
获取接口后,访问看看
表单解析失败,尝试post上传
老办法通过替换秘钥链接服务器 ../../../../../../../root/.ssh/authorized_keys
这里是上传成功,本来以为可以下班了的,尝试连接服务器
小问题,网络问题,换个节点在链接
再次登录弹出私钥,尝试了几次确认要么就是没上传过去,要么就是没开启私钥登录。
然后没办法,之前通过反弹shell是接收不到的
死马当活马医,再次尝试通过定时任务反弹shell,在/var/spool/cron/root写入定时任务
由于是阿里云,为了不确定的因素下直接反弹shell报警,就curl dnslog,现在就坐等一分钟
好的都两分钟了,白等
不知道怎么继续的时候就爱百度,然后翻着翻着发现一篇反弹shell的
虽然不能通过定时任务写入,但想到能通过sh文件去执行啊(这里也是打开profile文件才知道),然后用户打开bash窗口就会执行 分析:
这里会加载/etc/profile.d/文件夹里所有sh文件,比如像这样
进入/etc/profile.d目录,然后随便建一个sh文件
然后再重新打开一个窗口
执行了,没毛病,确认可行之后开始上传到etc/profile.d
坐等大冤种连接服务器,接下来还是漫长的等待
等啊等,经过半天的时间终于上线了,下机
文章来源:先知社区(呱呱yyy啊)原文地址:https://xz.aliyun.com/t/12310
关 注
| 
发表于 2023-4-2 21:23:21
