0x01 写在前面
渗透过程中可能会经常遭遇WAF,此时不要轻易放弃,绞尽脑汁竭尽全力,或许弹尽粮绝之时也是柳暗花明之日。
0x02 过狗上传
一次项目渗透过程中,找个一处上传功能
![图片[1]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314308_6084c68484c899398ba7a.png)
先上传图片,测试上传功能是否正常
![图片[2]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314309_6084c68548fcb471b6bba.png)
功能正常,那么我们尝试上传木马
![图片[3]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314310_6084c686224c762f82979.png)
出现了安全狗,asp后缀直接被拦截了,尝试asa后缀:
![图片[4]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314310_6084c686eddc524fbbc19.png)
还是不行,再次尝试cer、cdx、aspx、asmx、ashx等后缀都失败了,网站中间件是IIS7.5,已测试不解析php,自然也不会有解析漏洞。
这个时候我们发现上传表单中存在filelx参数,值为jpg,那么思路来了,修改为asp再次尝试
![图片[5]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314311_6084c6879b419dc0d7222.png)
提示文件类型无法上传,修改为其他非jpg后缀时都是相同提示,猜测这里应该是白名单过滤。测试发现参数filepath控制上传路径,并且可以随意更改,我们简单尝试下
![图片[6]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314312_6084c6889911a298f7772.png)
这里我们发现了一个非常有趣的现象,当我把路径改为upload/a时,上传文件路径就变成upload/a时间戳.jpg,这时我们灵感来了,如果我把路径后面的时间戳.jpg截断会发生什么?
我们果断构造路径upload/a.asp%00,%00用shift+ctrl+u转换下,提交数据包:
![图片[7]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314313_6084c6895666b02cdc88f.png)
bingo,这里结果和我们预想的一样,浏览器访问一下:
![图片[8]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314314_6084c68a2793376516360.png)
文件存在,但是出现了错误,没关系,我们传下正常的asp webshell。几经尝试之后,我们终于通过脏数据+shell代码成功上传webshell。
0x03 执行受阻
拿了shell我们当然是上蚁剑了:
![图片[9]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314314_6084c68aaece7ac8f6f6a.png)
但是蚁剑提示了黑名单URL地址,这倒是从来没有遇到过,百度搜索也无果,这里更换菜刀尝试一下,有狗那么我们优先尝试过狗刀:
![图片[10]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314315_6084c68b4c0d25053b1e5.png)
失败,继续尝试其他版本菜刀。这里又尝试了11版菜刀、14版菜刀、16版菜刀、CKnife、Altman,结果不尽人意,全部失败了。
不得已,我们直接祭出网页版webshell管理工具,成功连上webshell:
![图片[11]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314316_6084c68c0a504a9346279.png)
但是网页版实在是太蛋疼了,这里通过网页版上传冰蝎马,成功连上冰蝎:
![图片[12]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314316_6084c68c984562640f415.png)
但是此时高兴似乎还太早,执行命令没有反应:
![图片[13]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314317_6084c68d30f0fc9001194.png)
更换aspx马,再次执行:
![图片[14]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314317_6084c68d992bb85589ccc.png)
0x04 成功提权
更换aspx马后执行命令提示拒绝访问,想到可以手动上传cmd.exe,再调用执行即可,但是冰蝎没有右键虚拟终端的功能,所以我们上传一个aspx大马:
![图片[15]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314318_6084c68e295a48a047937.png)
调用上传cmd.exe尝试执行命令:
![图片[16]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314318_6084c68e92eb0bfd4a4e8.png)
再次失败,但是没有关系,办法总比困难多。这里想到既然网站支持.net脚本,那么极有可能使用SQLserver数据库,翻找一下文件,查找配置文件:
![图片[17]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314319_6084c68f1ba8e0ee5abff.png)
没过多久,我们便发现了sa账号密码,此时终于可以露出猥琐的微笑:
![图片[18]-当任意文件上传偶遇Safedog – 作者:公众号黑客前沿-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20210425/1619314319_6084c68f982a08e0296ec.png)
管理员权限!打完收工。
授权项目,请不要私自发起攻击,否则产生的一切法律后果自行承担!!
来源:freebuf.com 2021-04-25 09:33:16 by: 公众号黑客前沿
请登录后发表评论
注册