攻防实战-fuzz上传接口到内网

文摘   2024-11-30 22:36   江苏  
前言

不更新就是在hwww


不是星标不推送文章了。

师傅也不想吧~

快把极梦C设置成星标吧。




信息收集



对目标进行系统收集,发现只有一个官网。
页面有几个可以跳转的,
官网->xxx系统->根据xxx系统title找到另一个ip
这里的功能点都不全,不过他可以跳转。找到了ip 1.1.1.1


打点




通过对1.1.1.1进行ip端口扫描。发现了一个访问是iis默认页面的端口。1111
http://1.1.1.1:1111
一般对这种页面都比较喜欢,进行目录扫描。
发现存在一个test页面
http://1.1.1.1:1111/test/jmc/



直接全局搜索upload,看了几个都是404



虽然是404.但是有基本的路径了。这里想着是不是可以fuzz一下目录。
是否存在可以访问的目录。
当前页面是test.然后拼接,
找到了一个可以访问的路径。
http://1.1.1.1:1111/test/api/upload/uploadfiles/



尝试上传。这里好玩的事情是,无法上传jpg,txt.这里没截图。
上传的时候,直接显示禁止上传。很蒙蔽。
可能一般到这里就结束了。
但是思路了一下,是否这里只能可执行文件文件。
直接上aspx,发现可以成功上传




确实返回路径了,但是明眼一下看出来
这是一个filepath=xxx是一个下载的url
直接访问确实是下载。
http://1.1.1.1:1111/xxx/file/filepath=E://test/aaa/2024/xxx.aspx
接下来就是找路径的时刻。
看到有test。
直接和上述的上传接口进行拼接,
http://1.1.1.1:1111/test/api/upload/uploadfiles/--发现还是404。
嘶难顶。
继续fuzz,这里主要是找带有aaa路径的地址。
最后在再开始这个页面下面找到了一个带有aaa的路径,然后拼接成功shell。http://1.1.1.1:1111/xxx/aaa/2024/xxx.aspx



内网



内网某服edr,低权限,本想直接fsacn一把梭,但是无法运行,不知道为啥。只能提权,提权使用了PrinterNotifyPotato 进行内存提权。
然后添加账号,或者激活gues。然后远程登录。直接梭哈。


采用hash传递,口令碰撞,上百台服务器。其余都是老样子


下机。




如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款

往期回顾

一款bp神器

ssrf绕过新思路

一个辅助测试ssrf的工具


dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips

















迪哥讲事
作者主页: https://github.com/richard1230
 最新文章