////前言
HXD最近在打某市局小案件,然后周一的时候发了我个源码包让我审一下,审计后发现还是还是很简单的,适合水一篇公众号入门教程文。
01 审计过程
今天刚好忙完歇一会,顺手看看,拿到源码开始审计,全局搜上传点,直接抓到一个无条件上传
打开网址一看是[AppleScript] 纯文本查看 复制代码 m.php?m=Public&a=login
上传包
不出意外就要出意外了,响应302
回头再看源代码,发现最开始的时候需要验证一下管理员权限
问一下hxd,发现还真有账密,省的绕过了
登进去拿到了cookie,再进行上传,这时候虽然有了响应包,但还没有上传成功,跟正常访问接口一样
原因在于m要进else的逻辑必须让Post数据非空,所以我们可以在表单上随便加一些参数,不是FILE参数即可
再次上传,发现回显不一样了,那么上传看样子是成功了,现在只需要爆破下文件名即可
文件名命名的规则为 url/apk/time()+filename
上传完后,立马用脚本爆破前后30s的时间戳加文件名即可
[AppleScript] 纯文本查看 复制代码 $baseUrl ="http:// url"$file = “test9991zzz.php" $now = [int][double]((Get-Date).ToUniversalTime() -[datetime]"1970-01-01").TotalSeconds-30..30 | ForEach-Object {$ts = $now + $_$url = "$baseUrl/apk/${ts}$file"try {$r = Invoke-WebRequest -Uri $url -Method GET -TimeoutSec 3 -UseBasicParsingif ($r.StatusCode -eq 200) { "$url"; break }} catch {}}
访问一下,成功RCE
传个大马收工
| 
匿名
发表于 