长亭百川云 - 文章详情

记两次非常规文件上传Getshell(文末附工具地址)

Hack All

83

2024-08-13

常规绕过前端和后端的任意文件上传已经没意思了,本文记录下之前和最近遇到的2个不太常规的任意文件上传Getshell的案例。

[ 路径穿越+文件上传Get Shell ]

Nmap快速全端口扫描发现开放22,80和3306端口。访问目标,使用hfinger扫描发现Web应用使用了 Spring BootUeditor ,同时在留言页面发现有个上传图片功能:

抓包发现上传采用自定义API实现,没有任何限制。但是访问正常图片、txt文件、html文件都可以,访问jsp时却返回404:

经过查询可能的原因是:

  • 缺少依赖:如 spring-boot-starter-tomcatjavax.servlet-api

  • 配置错误: application.propertiesapplication.yml 中的JSP配置可能不正确

  • 文件位置不正确:JSP文件必须放在正确的目录下,通常是 /src/main/webapp/WEB-INF/views/

访问 index.jsp 也返回404,应该是使用了默认的配置没有解析jsp。难道煮熟的鸭子就这么飞了?
俗话说只有不努力的黑客,没有攻不破的系统,继续尝试采用目录穿越上传到其它目录,发现报错信息返回了网站绝对路径,可以看出有tomcat(其实Spring Boot默认内置了Tomcat Web容器)。

根据暴露的网站绝对路径,直接构造4个 ../ 将文件上传到网站根目录下,利用Tomcat进行解析jsp成功:

然后替换为Webshell即可拿下目标:

[ Excel导入Get Shell ]

某次项目中发现用户批量导入功能前端没有校验文件后缀和内容:

但是提交后会返回“文件名称不支持”:

而上传包含 .xls.xlsx 的后缀时返回导入失败:

这说明后端可能执行了Excel文件导入操作。上传名称为 xxx.xls.xxx 的正常模板文件时没有报错,这说明猜想是正确的。

然后构造名称为 xxx.xls.jsp 的webshell文件,虽然返回导入失败,但是根据目录扫描发现的 uploads 目录拼接上传的文件名后,返回200:

然后成功连接webshell:

拿下目标:


关于上篇文章,太多师傅在后台私信了,原本开头提了本公众号不提供地址的!但是私信太多太多了,还是回复一下师傅们吧!!!


这边工具地址是编译后的jar,并未开源,敏感时期,安全性自测啊!!!有需要建议虚机运行吧( 声明:并未测试,安全性自行负责,与本公众号无关!!! 声明:并未测试,安全性自行负责,与本公众号无关!!! 声明:并未测试,安全性自行负责,与本公众号无关!!!

工具地址:https://github.com/DeEpinGh0st/MDUT-Extend-Release

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2