实战|记一次对某站点的渗透测试(bypass)(三)

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
简介: 实战|记一次对某站点的渗透测试(bypass)

第三处漏洞:bool ssrf

上面下载下来的源码对接的是oa系统,而第一次的源码对应的是主站,所以我将重心又重新转回了oa系统

根据上方的源码可以看到增添了ueditor组件,1.4.3的jsp版本,相信大家都懂

e84a86a0ddb4f64eae5026878626ade0_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

第四处漏洞:bypass 多个waf--->getshell

又是通过新的源码,我找到了oa内一个极为隐蔽的上传点

bf243969cf59f834cc69c20457668556_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

505c6c7cea5a8c8965ab766660e3904b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

话不多说,登录oa,找到页面开始上传

一开始我先传了个jpg,发现能正常解析

acece0de2403a541161191c56ec1cfbd_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

再传了个html,直接g了,显示Connection reset

53fe053cf92e0c742ab9b8887be5a50b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

我心里一惊,常规应该不会那么拦截,多半是有硬件waf

通过大小写上传SVG文件发现,此处应该采用了黑名单,心想,90%是稳了


0a7798ab0b125cf4d14466fe37cfcc5b_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

f9a11814d5c2e71a2cc5b3ebd85c62d3_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

然而后面的情况让我挺绝望的,光是后缀名这里我就绕过了很久

换行、多个等号、加点、脏数据、不常见后缀名、去掉引号绕过等组合手段,都无一例外的被干掉了

在这里苦苦绕了一晚上

也算是比较好玩吧,这里的开发有一个逻辑,你把content-type改成text/html,再把filename里改成xxx时(不加后缀,直接xxx),系统会自动帮你重命名成时间戳.xxx

于是乎,后缀名就成功绕过了

ec94f26f5e07a6c03d921701b6382ad1_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

3acba61ac06b782047d8221cdbef3925_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

可内容拦截比较变态,出现一点java特征都不行,连赋值都会被干掉(el表达式除外)

既然是硬件waf,我想到了脏数据绕过,jsp内容中可以包含html的注释

最终经过测试,大约80w的脏数据可以成功绕过

可上传上去冰蝎马后,无法连接,估计是落地就被干掉了,怀疑存在AV,于是厚着脸皮向某前辈白嫖了免杀马

ddd2baba253e17e87caa9ffa8d5975b6_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

上传成功

这次连接成功,没有被杀掉

79c62309fdb9e96785d1f139277af71d_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

看了一眼,艹,全家桶啊简直

bbb241ed4b1df5fb5419d0659b7887fb_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

最后,象征性的whoami,结束战斗

3a7e7756dbcb2fa3bb7b1f3abf7370bc_640_wx_fmt=png&wxfrom=5&wx_lazy=1&wx_co=1.png

(本来想进内网的,但想了想,不节外生枝了,如果有机会再说)

结尾

站在前辈们的肩膀上,结合实际情况,巧妙了绕过了waf,也是蛮开心的

最后也是从A手中拿到了应有的奖励

相关文章
|
1月前
|
机器学习/深度学习 PyTorch 算法框架/工具
目标检测实战(一):CIFAR10结合神经网络加载、训练、测试完整步骤
这篇文章介绍了如何使用PyTorch框架,结合CIFAR-10数据集,通过定义神经网络、损失函数和优化器,进行模型的训练和测试。
86 2
目标检测实战(一):CIFAR10结合神经网络加载、训练、测试完整步骤
|
6天前
|
JSON Java 测试技术
SpringCloud2023实战之接口服务测试工具SpringBootTest
SpringBootTest同时集成了JUnit Jupiter、AssertJ、Hamcrest测试辅助库,使得更容易编写但愿测试代码。
34 3
|
11天前
|
缓存 测试技术 Apache
告别卡顿!Python性能测试实战教程,JMeter&Locust带你秒懂性能优化💡
告别卡顿!Python性能测试实战教程,JMeter&Locust带你秒懂性能优化💡
25 1
|
1月前
|
机器学习/深度学习 编解码 监控
目标检测实战(六): 使用YOLOv8完成对图像的目标检测任务(从数据准备到训练测试部署的完整流程)
这篇文章详细介绍了如何使用YOLOv8进行目标检测任务,包括环境搭建、数据准备、模型训练、验证测试以及模型转换等完整流程。
1140 1
目标检测实战(六): 使用YOLOv8完成对图像的目标检测任务(从数据准备到训练测试部署的完整流程)
|
1月前
|
PyTorch 算法框架/工具 计算机视觉
目标检测实战(二):YoloV4-Tiny训练、测试、评估完整步骤
本文介绍了使用YOLOv4-Tiny进行目标检测的完整流程,包括模型介绍、代码下载、数据集处理、网络训练、预测和评估。
104 2
目标检测实战(二):YoloV4-Tiny训练、测试、评估完整步骤
|
1月前
|
Java 程序员 应用服务中间件
「测试线排查的一些经验-中篇」&& 调试日志实战
「测试线排查的一些经验-中篇」&& 调试日志实战
22 1
「测试线排查的一些经验-中篇」&& 调试日志实战
|
15天前
|
前端开发 数据管理 测试技术
前端自动化测试:Jest与Cypress的实战应用与最佳实践
【10月更文挑战第27天】本文介绍了前端自动化测试中Jest和Cypress的实战应用与最佳实践。Jest适合React应用的单元测试和快照测试,Cypress则擅长端到端测试,模拟用户交互。通过结合使用这两种工具,可以有效提升代码质量和开发效率。最佳实践包括单元测试与集成测试结合、快照测试、并行执行、代码覆盖率分析、测试环境管理和测试数据管理。
31 2
|
16天前
|
前端开发 JavaScript 数据可视化
前端自动化测试:Jest与Cypress的实战应用与最佳实践
【10月更文挑战第26天】前端自动化测试在现代软件开发中至关重要,Jest和Cypress分别是单元测试和端到端测试的流行工具。本文通过解答一系列问题,介绍Jest与Cypress的实战应用与最佳实践,帮助开发者提高测试效率和代码质量。
27 2
|
1月前
|
机器学习/深度学习 监控 计算机视觉
目标检测实战(八): 使用YOLOv7完成对图像的目标检测任务(从数据准备到训练测试部署的完整流程)
本文介绍了如何使用YOLOv7进行目标检测,包括环境搭建、数据集准备、模型训练、验证、测试以及常见错误的解决方法。YOLOv7以其高效性能和准确率在目标检测领域受到关注,适用于自动驾驶、安防监控等场景。文中提供了源码和论文链接,以及详细的步骤说明,适合深度学习实践者参考。
296 0
目标检测实战(八): 使用YOLOv7完成对图像的目标检测任务(从数据准备到训练测试部署的完整流程)
|
1月前
|
机器学习/深度学习 XML 并行计算
目标检测实战(七): 使用YOLOX完成对图像的目标检测任务(从数据准备到训练测试部署的完整流程)
这篇文章介绍了如何使用YOLOX完成图像目标检测任务的完整流程,包括数据准备、模型训练、验证和测试。
152 0
目标检测实战(七): 使用YOLOX完成对图像的目标检测任务(从数据准备到训练测试部署的完整流程)