0x00:前言

上面给了个任务,一看,地图系统,懵逼了,这种的系统一般就是调个百度地图的api,无交互,想要挖洞简直难上加难...

一波信息收集后,发现该主站一个功能可以跳到该单位的微信公众号,且存在上传点,因此有了本文。

记一次略微曲折的上传_微信公众号

0x01:FUZZ

有了上传点,废话不多说先看看后缀能不能过

先传一个图片,更改后缀尝试上传

记一次略微曲折的上传_后缀_02

直接没了,难道是白名单吗,尝试随意后缀上传

记一次略微曲折的上传_微信公众号_03

发现可以上传,可能是存在waf?

直接传内容为一句话,看看会不会被拦截

记一次略微曲折的上传_微信公众号_04

结果没被拦截,应该是代码对后缀做了一些操作,

接下来就是一顿fuzz,搞了半天发现后缀名这边是过不去了,换行大法直接报错

记一次略微曲折的上传_上传_05

拿出之前过安全狗的方法试了一下,溢出Content-Disposition:字段,

记一次略微曲折的上传_微信公众号_06

竟然就这么成功了...

0x02:又一个问题

现在传是传上去了,但是没有返回完整路径,也不知道传哪儿去了,这咋整

扫当前目录啥也没扫到

然后扫了波一级目录,发现存在upload目录,

记一次略微曲折的上传_微信公众号_07

尝试拼接,成功getshell

记一次略微曲折的上传_上传_08

以上故事纯属虚构 如有雷同纯属巧合

更多技术文章请关注公众号:猪猪谈安全

记一次略微曲折的上传_上传_09