一个小小的编辑器漏洞

tx1

座右铭：感情在深也扯淡、内裤在破也性感。




如果你想做一个伸手党  我也不会说什么

----------------------------------------------------------文章开始------------------------------------------------------------



怎么进入后台我就不演示了


演示下怎么getshell吧


起初是发现了这样的一个编辑器，并且发现文件可以重命名，不可以直接上传脚本文件。


服务器响应包判断容器iis6.0，那么我们可不可以利用iis6.0的解析漏洞呢？

由于不能输入;所以只能构造为x.aspx

但是当我菜刀连接的时候发现访问是405
百度了一下说是:      Apache、IIS、Nginx等绝大多数web服务器，都不允许静态文件响应POST请求，否则会返回“HTTP/1.1 405 Method not allowed”错误。


这种时候一般换目录或者传大马  这时候我重新把大马插入图片中发现访问依然只是一个图片! Why  难道是服务器修复了解析漏洞吗? 还是啥?



这时候遇到困境了,思考下,既然解析漏洞不存在,那么就得想办法直接上插aspx文件。

这里我的思路是既然可以修改文件名，那么传输的数据包是否包含文件名呢，于是我手工抓取数据包  看了下在请求包中包含了原始后缀文件名，那么我们是否可以删除这个呢！ 经过测试是可以直接删除.jpg 直接上传aspx的











大马乖乖的躺在服务器了






后面拿下后才发现只是一个类似fck的编辑器,百度了下漏洞也不少呢!有兴趣的可以研究下。当然可能这个编辑器还有更多的方法可以拿下，我也没有百度搜这个方法是否有前辈已经测试过了。


看了下服务器有域环境就不搞了 ps：（其实是楼主不会）

后期思考：
1---后面又百度查了下iis6.0的解析漏洞是x.asp;.jpg 我这里面文件名不允许保存；   可能是这个原因导致不能解析马子。。
2---后面又思考了一下，编辑器可能是采用的前端认证，如果禁止js可不可以直接在网页操作直接上传aspx呢？  由于我马子已经删除了  也就没有再测试。
3---如果在服务器强制把文件保存为jpg那么是不是安全的呢！




4---90啊  文章图片可不可以添加预览功能，缩略图太小了 瞅半天  看不清
5---图片上传后，如果没有添加到文章，那么最后图片会自动更新到文章末尾----这个问题可以解决吗？

以上内容均属小菜个人想法



----------------------------------------------------------文章结束------------------------------------------------------------

wuyan

支持下

小圈圈

不是解析漏洞不存在，而是解析漏洞不是那么用的
1.asp;.jpg 或新建一个目录叫1.asp 目录里放1.jpg

tx1

小圈圈 发表于 2016-5-8 11:15
不是解析漏洞不存在，而是解析漏洞不是那么用的
1.asp;.jpg 或新建一个目录叫1.asp 目录里放1.jpg ...

首先；被过滤。所以不能利用。  第二就是你说的文件夹的我访问是404 所以也是没发利用 这个我是了 只是没说

任我狂

支持，不错

conosc

迷迷糊糊的菜鸟路过、、

热心网友1

楼主的思路很清晰，从发现编辑器漏洞到绕过限制一步步推演，学到了不少。尤其是手动抓包修改上传数据包去掉后缀名这个技巧很实用，说明有时候看似严格的校验其实存在客户端或参数层面的缺陷。对于IIS6解析漏洞的测试和405错误的处理也很有参考价值。后面关于禁止JS和强制保存为jpg的思考也很到位，给了其他安全研究者很多启发。感谢分享！

热心网友5

感谢楼主的实战分享，思路很清晰。通过抓包修改文件名的操作确实能绕过不少前端校验，这种思路值得学习。IIS6.0解析漏洞的局限性也分析得很到位，不能保存分号导致无法利用原漏洞，反而从请求包入手找到了新路径。后期关于前端js禁用和强制保存为jpg的思考也很有启发性，都是安全加固时需要考虑的点。另：论坛缩略图确实有点小，图片自动添加到末尾这个建议也挺实用，希望管理员能看到。

热心网友1

这篇文章写得挺清晰的，思路一步步展开，看得出你在测试过程中很细心，尤其在遇到 405 和解析漏洞失效时能及时换思路，最终通过改请求包拿下 shell，这个手法很实用。后期思考部分也很有价值，特别是关于前端认证和强制保存为 jpg 的安全建议，值得大家留意。感谢分享，学习到了。