hw打点之运气使然

0x01目标 目标是一个登录的页面， 还有配套的验证码，手工尝试几次后放弃 因为存在waf所以路径一扫就封。 0x02历史漏洞 从这儿可以看到下面有开发公司的名称 于是直接去搜索公司+系统名称,结果在cnvd发现曾经的漏洞。任意文件上传漏洞。 漏洞详情中存在漏洞具体的路径，于是直接访问查看。 本以为是需要构造下数据包之类，这下鸭子喂到嘴里了。burp启动～ 选择文件--> 上传-->点不动！ 竟然没有任何反应，猜测浏览器问题或者上传按钮被嘎掉了。IE启动～ 依然不行，于是构造上传。 还是不行 返回页面依然是这个前段页面，所以需要找到真正的上传路径。 0x03照葫芦画瓢 既然cnvd收录了，那肯定不止有一个改系统，所以找一个相同的系统存在该漏洞的，然后替换数据包肯定行。 直接去fofa搜索公司，发现的确存在几套系统。大喜 ！遂复制路径，继续开测。 结果发现上传按钮皆不行。 秉持着不能空军的原则，既然上传不行那我就开扫，扫不出来就爆破。于是就把搜集到的这几个站都扫描一遍，发现其中一个站存在目录遍历。 放眼望去全是上传，妙！ 可以上传，返回路径！但是黑名单～ 不甘心，于是挨个测试，发现aspx后缀非黑名单即白名单。asp后缀则有点问题。 白名单 无奈～ 0x04峰回路转 本以为到此结束，想到了fileUpload_summernote.asp的空白页面 有没有可能它就是那个真正的上传路径，构造数据包试试 返回500～ 因为上面上传正常图片给了一个路径 不死心的再来看看 嘿～您猜怎么着～ 它还真在啊！ 拿下拿下，幸福来得实在突然。 回到目标上直接梭哈搞定。 0x05结语 在拿到权限后怀着好奇心又去看了看源码，首先是上传的黑名单 很明显是一个一个后缀去对比的，没啥好的办法。 然后又去看了看白名单。这里首先获取文件名--》文件名转成小写，然后通过获取到的文件名去和白名单做对比，如果没有白名单内容则“FilesType”!=1 然后提示只支持白名单文件。 那么问题来了这里他获取的是整个的文件名称，以及做对比的也是整个文件名称。 所以说并不是获取的后缀去做对比那么是不是就可以这样写然后绕过。123123.png.asp 绕过。收工！ 文章来源：tide安全团队 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END