0x01 前言
昨天我发了一篇文章,下午有人找到我说某位大佬顺着我昨天文章的思路getshell了,我从睡梦中立马惊醒前来查看发过来的复现文档..........
0x02网站定点信息收集&寻找GETSHELL点
打开目标站点 单纯一个登录页面:
试了下常用弱口令不成功 这里就不放图了先查看一下网站配置信息嗯 windows服务器加IIS中间件,说明解析的木马是asp系列木马
看了下是vue框架 先F12大法走一波查看到了两个地址
访问一下一个是登录 一个是首页登录的就不放图了就是第一张图页面第二处地址访问到了貌似是后台首页,但是也没什么东西 是未授权产生的页面没有任何功能
既然鉴权这么不严谨,那就深入挖掘下看看有没有能查看到用户列表的地址这里就不用F12了,直接使用一个熊猫插件 已经帮我把页面存在的地址全部列出来了
一般就看LIST这种类型的地址就行了
访问:过多没用的地址截图就没放出来了直接放成功的图可以看见成功拿到了这系统上的三个账号
这里直接入手第一个老师账号果然弱口令是YYDS
看了下没多少功能,看看是否能越权 已经很久很久没挖过越权这种漏洞了退出重新登录,抓取登录响应包,将所有可疑参数都修改为1 role什么的修改为admin
放包后,成功垂直越权至管理员
0x03后台使用编辑器漏洞进行文件上传
看看能否getshell找找上传点在新增资源中看到了ueditor编辑器poc上一下
看到这个不用多说了
经过一番周折后,最终也是成功的getshell
0x05 总结
罪魁祸首还是未授权访问的接口暴露在外面使我们成功访问到后台某功能点拿到了正确账号密码后进行授权进入了后台,此时所有的功能都可以查看使用,后来寻找到一处ueditor编辑器,使用网络公开poc进行检测得知存在此漏洞,进一步利用,最后成功GETSHELL。
