任意文件上传
看到一个上传
还是根据数据包 找到代码
这里代码很少 一步一步跟进
这里看不出什么 继续跟进
这里通过new MultipartRequest进行上传文件
跟进
继续
这个函数没发现什么
发现这个函数
会判断jsp和jspx后缀
这里可以就可以通过windows的特性 来进行绕过 上传文件名为.jsp.
测试
第二处
这个函数也是和上面一样的 可以进行任意文件上传
这些都可以
越权修改密码
先创建一个普通用户
然后登录 修改密码
这里可以看到有一个user_id 修改这个 这里相当于 平常黑盒测试一样 改为1
可以看到admin的密码也变成asd123了
代码分析 根据数据包找到controller
根据日志也可以看到 是根据id来进行修改密码的 没有进行id和用户的绑定
有了修改密码的前提 我们会想到修改资料这些
模板注入
在pom.xml发现cms使用freemarker
在后台存在模板的修改
payload:<#assign value="freemarker.template.utility.Execute"?new()>${value("calc.exe")}
参考:https://blog.csdn.net/Little_jcak/article/details/126420014
https://blog.csdn.net/weixin_44522540/article/details/122844068
