实战渗透-从FCkeditor敏感信息泄露到Getshell

2020-09-11 / 8 条

前言:

挖edusrc的日常思路,欢迎各位大佬指点不足

注:未经允许,禁止转载!

信息收集:

为了锻炼定向渗透能力,这段时间特地找了几个站练手,顺便冲一手edusrc排名。

目标信息如下:
image.png

一个数据采集与管理平台

image.png

中间件: IIS 7.5 开发语言: ASP.NET

目标前端只提供了登录和找回密码功能

image.png

初步尝试爆破后,无果~~~

目录探测:

既然弱口令没啥结果,那就只有按照常规思路来了。。。

先使用御剑简单的探测一下目录

在某处发现了FCkeditor

image.png

由于NET版本,印象里是有一个目录遍历的。

路径:

/FCkeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=

初步探测:
image.png

确认目标系统存在目标遍历漏洞,且服务器安装了360产品。

那么可以先简单的探测下当前Web目录有无备份文件之类的。可以直接下载

最终在D盘确定了几处目录文件

image.png

目标下存在4个相同结构的目录。无法判断谁才是真正的根目录。

最终在Upload下面发现了一个 t.txt 文件

image.png

这个文件在其他目录下是不存在,且通过当前域名可以正常访问此文件,因此确认路径。

这里本想着翻一翻有无备份文件的,可当前根目录下没有任何压缩包文件,所以打消这类念头。

在upload下面也发现了一些xls 表格,但内容为空。

万物皆可Fuzz:

最终在某处发现了一个ashx接口文件:

image.png

文件名为:`UploadHandler

这里我打算盲打一波:

先手动访问下这个接口文件,看看返回内容是啥,后面方便进行对比。

image.png

以GET形式请求该文件,返回数字0。

那么这里可以得出结论,上传成功为数字1 或以上。

构造POC:

<form action="handler.ashx" method="post" enctype="multipart/form-data" >

<input type="file" name="file"/>

<input type="submit" value="提交"/>
</form>

Burp Suite 抓取数据包,尝试手动重放。

image.png

结果还是返回0

那么这里可以确定后端写法如下:

常规写法:

this.Request.Files[0] //取第一个值

固定取值写法:

this.Request.Files['file'] //取固定参数的内容

当前后端写法为后者,取固定值,也就是说后端按固定参数取值。

按照日常的经验,写了一些常见的参数值字典

尝试Fuzz

image.png

得到回显 1 ,猜想文件已经上传。

然后继续使用Fckeditor探测上传路径

在接口所在目录下发现文件

image.png

确定好目录和参数后,尝试上传apsx的文件

image.png

得到回显1,证明成功上传。Fuckeditor下面查看一下

image.png

上传成功~~~~~~

注:相关漏洞详情已提交至EDUSRC。

8 条回应:“实战渗透-从FCkeditor敏感信息泄露到Getshell”

已有 8 条评论

  1. p1ay2win p1ay2win说道:

    海哥强啊

  2. sh3ll sh3ll说道:

    大佬那个字典是啥字典,能分享下吗

      1. yuanhai yuanhai说道:

        https://github.com/yuanhaiGreg/Fuzz-Dict/

        会持续更新,目前记录的,都是我再实战中遇到的

  3. aaa aaa说道:

    太猛了

  4. qweqwe qweqwe说道:

    哥为啥思路这么骚,带带弟弟

  5. microfan microfan说道:

    远海表哥yyds

  6. 菜鸡 菜鸡说道:

    远海表哥yyds ::aru:crying::

  7. kidll kidll说道:

    大佬TQL `~远海大佬永远滴神

发表评论取消回复

电子邮件地址不会被公开。 必填项已用*标注