网站备份
发现网站是 .net 的站,爆破弱口令也不成功。简单手工测试一下,发现二级目录存在一个网站备份:
/aaaaa/login
/aaaaa.zip
/aaaaa.rar
/aaaaa/bin.rar 发现存在 bin.rar
/aaaaa/bin.zip
代码审计
因为不懂审计,直接把所有 Bin 目录下的 dll 文件丢到 dnspy 里面。通过登录的接口直接搜索代码在哪
登录的接口:/aaaaa/Account/Login
在 Web.Controllers 下 AccountController 类 Login 方法,大概知道是怎么请求的了
在 HelperController 类中发现 Upload 方法:下面是我猜的审计流程
- 判断 fileData 是否为空
- 判断 Uploads 目录是否存在,不存在就创建
- 获取后缀名拼接在 NewId
- 最后保存文件
根据上面 Login 的接口规则 构造上传的接口,成功 getshell