文章总结： 本文记录了一次针对目标网站的渗透测试过程，通过弱口令爆破获得多个账户，发现存储型XSS漏洞，并利用KindEditor编辑器的已知文件上传漏洞，最终通过上传ashx/asmx文件成功获取shell。此外，通过获取数据库文件解密管理员密码进入后台，展示了从信息收集到漏洞利用的完整攻击链。 综合评分： 78 文章分类： 渗透测试,WEB安全,实战经验,代码审计,CTF

有的小伙伴就有疑问了：为什么这个存储位置特殊呢？我主要注意到webeditor关键字，这个目录绝大多数情况都是用来放网页编辑器的。很多网页编辑器都存在漏洞，有几率还可以getshell所以绝对不能错过。

通过爆破目录得到KindEditor编辑器的demo

地址/inicp/webeditor/demo.asp

得到编辑器版本，这个版本是存在文件上传漏洞的

地址/inicp/webeditor/kindeditor.js

这是kindeditor编辑器各语言的上传接口路径

kindeditor/asp/upload_json.asp?dir=filekindeditor/asp.net/upload_json.ashx?dir=filekindeditor/jsp/upload_json.jsp?dir=filekindeditor/php/upload_json.php?dir=file

刚好这个站都满足以上条件，现在创建本地html来上传文件，但是对方限制了文件格式只允许这几种。

哎只能弄一个存储型XSS了

另外发现访问inicp路径是网站的后台地址

02

出货

2.1

文件上传

跑出了很多文件上传的路径，其中能用的只有这条

测试发现只可以上传图片或html文件，并给出文件地址。上传asp脚本就会被拦截，不甘心只能弄一个存储型XSS。

众所周知.net后缀还有其他类型，逐一尝试后发现ashx、asmx类型的可以被上传上去，成功getshell

这是台云主机，内网没啥可打的。

2.2

进后台

直接找到它的Microsoft Database数据库文件

找到存储管理员密码的表

解密后成功登录到网站后台

往期文章推荐

【技术分享】密码甩到我脸上奇葩案例再现

【技术分享】从渗透到逆向还原攻击过程

【技术分享】逻辑漏洞逻辑漏洞还是逻辑漏洞

【技术分享】记一次从信息泄露到重置任意用户密码的渗透过程

项

目

承

接

团队中的师傅们都来自国内安全厂商在职的一线工程师，均具有良好的职业素养与丰富的从业经验。

渗透测试

Web渗透、APP渗透、小程序渗透、内网渗透

CTF

培训、竞赛、解题、AWD竞赛服务

考证

NISP考证、CISP考证

TNT文库

所有文章第一时间会发布在文库中，文库中的内容全部免费开放。

访问密码每周都会更换，最新访问密码请在公众号的菜单栏：资源获取-漏洞文库中获取。

edusrc邀请码

免费不限量提供edusrc邀请码，请在公众号的菜单栏：资源获取-edusrc邀请码中获取。

END

点个「推荐」 我的零食分你一半

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：我吃饼干 xioy xioy《【技术分享】一次略微顺畅的文件上传》