Pentest case sharing - One

2019年08月20日 1.8k 字大概 7 分钟

前言

最近在做项目时遇到了一些比较有意思的案例，此处特意写下来与大家分享一下。由于此目标在第一波测试时已经获取到服务器的权限，后来由于种种原因要进行二次测试。想再次使用之前的权限作为入口点时却发现权限已经丢失相关的子站点也都已经关闭，只好再次寻找突破点。描述不当之处还请大佬们指正。

环境初探

由于之前已经获得了这台服务器的权限，且相关的账号密码也都已经到手(具体之前怎么弄到的我也忘了~)，所以直接登录后台看看。登录之后我可以看到功能并不是很多

经过一段时间的观察，发现此管理系统是上海一家名为”上海梦之路数字科技有限公司”所开发的，根据左上角的图标可以看出此系统名为MENGOO版本为4.0。使用各大搜索引擎均未搜索到相关的漏洞信息，看来只能自己动手了，大致看了看可供我们利用的点除了上传头像和资源发布之外其他的并不多。在尝试过上传头像发现虽然是前端验证但在后面图片渲染时无法正常渲染图片上传失败，更换图片马也无济于事此路看来不通。那我们就看看能不能在资源发布上做些文章，相比之前此资源共享允许上传的文件要宽泛的多，基本所有类型都可以。这就给我们提供了很大的便利值得注意的是这套系统上传和下载等对文件进行操作时并不像其他应用程序一样直接使用代码实现，而是需要安装一个特定的客户端，进行操作时系统拉起相应的客户端完成文件的上传及下载

安装好客户端后点击文件管理我们可以看到此文件夹下的相应文件并且可以进行下载，重命名和新文件上传

我们尝试上传一个jsp木马，系统拉起folder_select和uploadclient完成对文件上传。完成后我们可以看到jsp文件被正常的上传到文件夹下

正当我以为就这么完事的时候，才发现并不是想的那么简单。

上面我们通过资源共享顺利的将jsp上传到了服务器上，但是。。。。。在我使用客户端连接时发现连接失败，使用浏览器访问才发现居然404

出现这种情况据我所知有两种情况第一我们上传的文件被删除或者损坏第二程序做了目录解析限制。我们先来看第一种确定我们的文件没有被删除，而大多数程序文件管理功能基本都是读取前端传入的参数调用语言封装好的系统函数读取指定目录下的文件，结果也相对准确，所以依现在前端读取的情况来看上传的文件并没有被删除也没有损坏。在排除这种情况后那么导致此问题的只有一种可能就是程序限制了解析目录。Upload文件夹下的资源文件一律不解析。所以要想让我们的木马正常解析我们就得把文件上传到upload目录以外的位置。那我们就来看看上传过程中有没有我们能插手的地方

按照正常流程选择文件上传，在其中一个数据包中显示了我们想要信息（为方便阅读，已将数据包解码）