前言

网站有注册,但是需要邀请码。尝试爆破弱口令,发现需要插入 KEY 才能登录。通过扫目录发现 druid 未授权访问,通过 URL 监控发现文件上传的接口,但是需要登录。通过爆破 Session 发现可用的Session。直接上传 jsp jspx 提示非法,随意输入 1.xxx 发现可以上传,说明是 任意文件上传 只是对 jsp 做了黑名单处理,然后通过 Windwos 特性成功绕过得到 Webshell。

经过

通过目录扫描发现 Druid
1629272861636.png

通过访问 URI 监控发现文件上传接口
1629272867112.png
发现存在 Session,利用工具把 Session 保存下来
https://github.com/yuyan-sec/druid_sessions
1629272873521.png
找个需要登录的链接爆破 Session,这是失效的 session
1630079699842.png
这是可以利用的 session
1629272886725.png
文件上传需要登录,所以需要上面的 session。

尝试上传 jsp 提示非法
1630079784639.png
随意输入一些后缀名,发现可以成功上传,说明是任意文件上传
1630079791310.png
通过 windows 特性 1.jsp::$DATA成功上传 webshell。
1630079796633.png