记一次某OA系统漏洞挖掘

前言

在一次攻防演练中遇到了某OA，未授权漏洞全部经过了认证，好在细节的挖掘成功getshell。

获取源码

image.png

先简单测试一下，用户名密码加密验证码有效，无法进行暴力破解。
寻找指纹，hunter搜索到同框架系统。

image.png

随便找了一个站点，admin/123456 登录系统。在系统内部寻找文件上传功能，成功getshell拿到源码。

image.png

未授权

在该系统里发现多个未授权上传页面。但在目标环境上访问全部302跳转。

image.png

一个一个寻找过于麻烦，不如获取所有的aspx、ashx文件进行遍历访问。

image.png image.png

成功发现Ueditor 编辑器

image.png

但在目标环境上访问状态码显示550

image.png

目标getshell

停下来整理目标信息的时候发现在之前测试发现上传文件会保存在8022端口上。
这里改变端口重新fuzz路径。
发现存在FileUpload.ashx、MobileFileUpload.ashx上传页面。

image.png

FileUpload.ashx测试发现为白名单，且存在云waf。

image.png

MobileFileUpload.ashx可以进行任意文件上传。在boundary后加TAB键成功绕过云waf。

image.png

成功getshell。

image.png