网站备份

发现网站是 .net 的站,爆破弱口令也不成功。简单手工测试一下,发现二级目录存在一个网站备份:

/aaaaa/login

/aaaaa.zip

/aaaaa.rar

/aaaaa/bin.rar 发现存在 bin.rar

/aaaaa/bin.zip

代码审计

因为不懂审计,直接把所有 Bin 目录下的 dll 文件丢到 dnspy 里面。通过登录的接口直接搜索代码在哪

img

登录的接口:/aaaaa/Account/Login

在 Web.Controllers 下 AccountController 类 Login 方法,大概知道是怎么请求的了

img

在 HelperController 类中发现 Upload 方法:下面是我猜的审计流程

  1. 判断 fileData 是否为空
  2. 判断 Uploads 目录是否存在,不存在就创建
  3. 获取后缀名拼接在 NewId
  4. 最后保存文件

img

根据上面 Login 的接口规则 构造上传的接口,成功 getshell

img

img