前言

网站有注册,但是需要邀请码。尝试爆破弱口令,发现需要插入 KEY 才能登录。通过扫目录发现 druid 未授权访问,通过 URL 监控发现文件上传的接口,但是需要登录。通过爆破 Session 发现可用的Session。直接上传 jsp jspx 提示非法,随意输入 1.xxx 发现可以上传,说明是 任意文件上传 只是对 jsp 做了黑名单处理,然后通过 Windwos 特性成功绕过得到 Webshell。

经过

通过目录扫描发现 Druidimg

通过访问 URI 监控发现文件上传接口img

发现存在 Session,利用工具把 Session 保存下来

https://github.com/yuyan-sec/druid_sessions

img

找个需要登录的链接爆破 Session,这是失效的 sessionimg

这是可以利用的 sessionimg

文件上传需要登录,所以需要上面的 session。

尝试上传 jsp 提示非法

img

随意输入一些后缀名,发现可以成功上传,说明是任意文件上传

img

通过 windows 特性 1.jsp::$DATA成功上传 webshell。

img