文章总结: 本文记录了某ASP.NET招聘系统的渗透过程。作者通过弱口令爆破登录,利用filename参数实现任意文件下载,成功获取Web.config与MyWeb.dll源码进行审计,并发现越权漏洞。后续尝试文件名截断与UEditor的catchimage图片马上传均因目录限制未能Getshell。文章展现了漏洞挖掘与审计思路,文末含软文广告。 综合评分: 60 文章分类: 渗透测试,代码审计,WEB安全,实战经验,软文广告
略懂安全的三秋 略懂安全的三秋
略懂安全的三秋
2026年4月23日%2016:35 广西
在小说阅读器读本章
去阅读
原文链接:https://forum.butian.net/share/2130
有请今天的主角登场,不难看出这是一个招聘系统%201.先尝试注册
由注册的提示我们可知,密码最少为六位,那我们就直接上爆破吧
再想想,这里我们是选择爆破密码还是选择爆破用户名呢?
根据这个站的功能可知,这是个招聘网站,招聘网站那肯定以人名为用户名的多吧?
是吧是吧应该是吧
所以我们这里选择爆破用户名,密码设置为123456
、
果然印证了我的猜想,还没有跑完整个字典我就暂停了
上图200返回的是登录错误,302是登录成功后跳转至/Manager页面
啊,点击修改简历,一眼我就看到了附件上传四个大字
以往的经验告诉我,这里挺有可能Getshell
这里先上传一张正常的图片试试水
正常发送,发现跳转了
那我们就把抓的包放掉
发现保存成功,还重命名了,测试了这三个上传点发现都是会重命名文件,只是上传的目录不同而已
乱点乱点回到主页看了一下
看到附件处有一张证书,再看左下角有个敏感词 filename
右键复制链接地址,粘贴到%20HackBar%20把 filename 参数后面的值删掉,访问
用../测试看看有没有%20Web.config
其实经过图7可也发现%20cet%20对应的为%20upload%20后面的目录
(反正就是猜吗,猜一下又不要?,?)
经过测试呢,确实是,也可以更方便下载文件
一个中危到手,嘿嘿
查看%20Web.config%20发现有数据库ip账号密码,尝试连接,连不上,这里就不放图了
没头绪了乱点乱点
望着这个四六级证书的链接发了呆,想着,四六级四六级我TMD又考不过
。。。。。。
咦!猛地一看,嘶~这个不是把大学名称拼接到文件名里面了嘛
那我不是可以构造文件名来截断后缀!!!???
说干就干,先在本地测试一下先
在本地测试可以发现%00截断是可以成功上传的
先不截断,上传文件看看文件名是否为我所猜想的那样
芜湖!猜想正确,把大学名直接拼接到文件名里
使用%00截断,就快要成功啦,好激动!!
小手一点,上传!
。。。。。。。。
没事,那就换种截断
使用 ::$DATA截断
em。。。提示保存成功,但是文件呢???
算了,那我自己找吧
通过上面任意文件下载爆出来的路径可知该文件在X:\XXX\Content\upload\cet\目录下
文件名规则为:年-月-日_姓名_学校_四六级证书.jpg
但是我们截断了后缀所以尝试访问:年-月-日_姓名_qwe.aspx
访问得:。。。。。。。。。。。。不可能吧?
那我访问正常上传的四六级png呢?
这特码下载得到,访问不到
太狠了,期间我还在想是不是以%20_%20替换了%20/%20来当作目录,最后测试无果
应该是做了目录限制,不允许直接访问这个cet目录
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
划水划水划水划水划水划水划水
划水了好几天后
(可是。。没有玩过aspx啊,而且这还是个MVC框架的,我一无所知呀)
尝试使用任意文件下载%20index.aspx(无果)
尝试使用任意文件下载%20Default.aspx(无果)
尝试使用任意文件下载%20Global.asax(成功!)
这。。我也看不懂啥意思啊
这目录结构是啥样我也不知道呀
下载的这份源码叫Leavescn-v2.5
大概看了一下,好像还真像那么回事
进到bin目录发现一个System.Web.Mvc.dll
嘿嘿,还真有
下载dnSpy来反编译看了看
发现。。。看不懂,最后问了一下大哥,大哥说我下错文件了
。。。那我怎么知道代码在哪个文件呢(来自小白的疑问)
尝试下载其他文件无果
。。。。。继续日
在该bin目录下有一个MyWeb.dll文件
那我这边也尝试下载
成功下载该文件
丢进dnSpy找到下载功能的源代码
Download传了两个string参数
虽然看不太懂,但是也能看个大概
跟进Download函数
上传过滤功能代码:
最后看了看有几个越权,可以遍历所有人的简历等
没啥能Getshell的漏洞(我看不懂代码呜呜)
。。。。。。
没希望了,去首页乱点乱点,打算告个别
突然!点到下载链接的时候,看到了很敏感的几个字母%20ueditor
这还是个.net网站,难道说???
访问:http:127.0.0.1/ueditor/net/controller.ashx?action=catchimage
卧槽?
构造html尝试上传:
<form%20action="http://xxx.com/ueditor/net/controller.ashx?action=catchimage" enctype="application/x-www-form-urlencoded" %20method="POST">
<p>shell%20addr:%20<input%20type="text" name="source[]" /></p%20>
<input%20type="submit" value="Submit" />
</form>
上传!!!。。。
这是不能抓取外部图片?
我jscjasjsapodisocasociacsacjaso
受不了啦
摸鱼摸鱼摸鱼
摸鱼摸鱼摸鱼摸鱼摸鱼摸鱼摸鱼摸鱼摸鱼摸鱼
不能抓取外部图片?那我能抓取它自己服务器的图片吗?
试试
芜湖,jpg可以抓取
那么aspx可以抓取吗?
成?成功啦?
访问一下aspx看看:
。。。。。。
不慌,改为asmx看看,欸嘿有希望
下载一个Tas9er大哥写的asmx%20?
https://github.com/Tas9er/ByPassGodzilla
制作一个图片?
copy 1.jpg/b + 2.asmx 3.jpg
1.去头像上传处上传图片?
2.利用ueditor抓取图片成功Getshell
。。。。。。
21.寄2
问了一下大哥应该是目录做了限制。。。
html等可以正常解析
下播
下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播下播
无问社区以真实攻防数据为根基,构建了专为安全研究者设计的垂直模型体系。不只是问答,而是可执行的攻防逻辑与严密的推理链路。
无问AI已攻克无数网络安全技术难题,达到人类顶级能力的网安大模型,让你的技术研究效率实现跃升。
无问社区累计解决网安技术问题4,000,000+,140,000+
无问AI远超通用大模型,在网络安全问题理解、代码生成、安全研究分析及其他复杂场景上是你的最佳选择。
链接:https://www.wwlib.cn/index.php/
如果积分不够用可以使用我的积分码,即可领取100积分
兑换链接:https://www.wwlib.cn/index.php/gift
WUWEN_OE9fxEYaPHQqivSWXb
由于传播、利用本公众号所提供的信息而造成``的任何直接或者间接的后果及损失,均由使用``者本人负责,公众号略懂安全的三秋不``为此承担任何责任,一旦造成后果请自行承担!
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:略懂安全的三秋 略懂安全的三秋 略懂安全的三秋《记一次任意文件下载(尝试Getshell未果)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论