第三处漏洞:bool ssrf
上面下载下来的源码对接的是oa系统,而第一次的源码对应的是主站,所以我将重心又重新转回了oa系统
根据上方的源码可以看到增添了ueditor组件,1.4.3的jsp版本,相信大家都懂
第四处漏洞:bypass 多个waf--->getshell
又是通过新的源码,我找到了oa内一个极为隐蔽的上传点
话不多说,登录oa,找到页面开始上传
一开始我先传了个jpg,发现能正常解析
再传了个html,直接g了,显示Connection reset
我心里一惊,常规应该不会那么拦截,多半是有硬件waf
通过大小写上传SVG文件发现,此处应该采用了黑名单,心想,90%是稳了
然而后面的情况让我挺绝望的,光是后缀名这里我就绕过了很久
换行、多个等号、加点、脏数据、不常见后缀名、去掉引号绕过等组合手段,都无一例外的被干掉了
在这里苦苦绕了一晚上
也算是比较好玩吧,这里的开发有一个逻辑,你把content-type改成text/html,再把filename里改成xxx时(不加后缀,直接xxx),系统会自动帮你重命名成时间戳.xxx
于是乎,后缀名就成功绕过了
可内容拦截比较变态,出现一点java特征都不行,连赋值都会被干掉(el表达式除外)
既然是硬件waf,我想到了脏数据绕过,jsp内容中可以包含html的注释
最终经过测试,大约80w的脏数据可以成功绕过
可上传上去冰蝎马后,无法连接,估计是落地就被干掉了,怀疑存在AV,于是厚着脸皮向某前辈白嫖了免杀马
上传成功
这次连接成功,没有被杀掉
看了一眼,艹,全家桶啊简直
最后,象征性的whoami,结束战斗
(本来想进内网的,但想了想,不节外生枝了,如果有机会再说)
结尾
站在前辈们的肩膀上,结合实际情况,巧妙了绕过了waf,也是蛮开心的
最后也是从A手中拿到了应有的奖励
