某棋牌站点爆菊

群里小伙伴发出一张图片没有打码说这是在某司论坛看到一个标题(投稿文章:某棋牌室网站从信息搜集到CS上线)他想看一波文章。你看就看了发出没有打码图片干啥想让大家一起搞一波。结果他发了一张图(好久都没有搞渗透了。技巧确实没有了。。。。)

说是没权限并且是最高权限才可以看的。我c你说你发出来不就是让人看的设置一波255绝了。接下来模仿大佬搞一波棋牌站点
1
我去没有见过。来猜猜密码看看我去人品爆发啊弱口令进去了

大家不会以为这样就完了什么后台上传sql注入一把梭不存在的。找了半天没有找到。陷入沉思。我这如此之菜。后来看了看cookie发现6603admin这激起了我的兴趣。网上搜所一波结果是某狐棋牌网站。沃日
感觉百度一波看看有没有漏洞结果还真找到了
getshell的心里想沃日这么easy
结果一访问沃日。心中一万个曹尼玛涌过

综合某些资源发现了一个上传接口fuzz了一波发现永远都是0.我c可能是文件名称不对
4
于是乎什么网站备份扫描。目录扫描试了一波发现毛都没有。又陷入了沉思。
忽然眼前一亮我们不应该在一个地方死磕啊于是。操起端口扫描工具对其进行了一波探测。结果
终于找到了突破口找到一个端口竟然可以列目录。我去看到一个tp的一个目录然后点进去发现啥也没有显示于是看了一波日志发现日志最近是11.20号的看到了一个public于是拼接一下果然网站出来了

既然是tp5你们懂得拿去自己写的武器去探测一下看看
6
接下来直接拿shell就行了。拿shell过程如果有不会的直接百度一波看看。

接下来分析一下upload.ashx 拿出.net神器来分析一波

从这句代码来看

HttpPostedFile httpPostedFile = context.Request.Files["FileData"];

上传的名字应该是FileData。如果不对那么永远都是返回0从这段代码就可以看出

string s = "0";
	context.Response.Write(s);

所以应证了猜想参数不对从代码里面可以知道他要调用一个函数来验证上传参数的扩展名是否在这个函数中。一看函数凉凉了白名单验证

	public static readonly string[] allowExtend = new string[]
		{
			".jpg",
			".gif",
			".png",
			".bmp",
			".pdf",
			".xls",
			".xlsx",
			".doc",
			".docx",
			".rar",
			".txt"
		};

截断可以试试貌似截断只有在特定iis下才可以成功。另外通过读代码我们发现他的命名规则是

string str2 = DateTime.Now.ToString("yyyyMMddHHmm") + "_" + httpPostedFile.FileName;

时间_我们上次的文件名称
如果是2003的系统我们可以直接用解析漏洞来拿到shell

<html>
<body>

<form action="http://xxxx/ashx/Upload.ashx" method="post"
enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="FileData"/>


<br />
<input type="submit" value="Submit" />
</form>

</body>
</html>

下面演示一下
10
http://xxxx.com/images/JiangPin/202012181608_1.aspx;.jpg


在看别人搞得另外一套某狐网站登录处有注入但是这个棋牌系统在此登录处直接过滤单引号。并且做得是参数化因此登录处注入灭绝



另外发现那个上传点不是不存在了是被人改名字了

至此文章完结

1 Like

大佬,nb,这也能找到。

轮标点符号的重要性....

我小菜小菜 :rofl:

:cold_sweat::cold_sweat::cold_sweat::cold_sweat:

这套后台也有注入得,网狐得几乎都是机器人

没有找的那么仔细。这套是更新过得。找注入也是最后的道路。可以分享一波注入的点在哪里😅。有一个cookie爆路径的但是不准确。完了有时间深入研究看看