標題：記一次略微曲折的上傳

[taibeihacker]

0x00 前言​

上面給了個任務，一看，地圖系統，懵逼了，這種的系統一般就是調個百度地圖的api，無交互，想要挖洞簡直難上加難.
一波信息收集後，發現該主站一個功能可以跳轉到該單位的微信公眾號，且存在上傳點，因此有了本文。

0x01 FUZZ​

有了上傳點，廢話不多說先看看後綴能不能過
先傳一個圖片，更改後綴嘗試上傳

直接沒了，難道是白名單嗎，嘗試隨意後綴上傳

發現可以上傳，可能是存在waf？
直接傳內容為一句話，看看會不會被攔截

結果沒被攔截，應該是代碼對後綴做了一些操作，
接下來就是一頓fuzz，搞了半天發現後綴名這邊是過不去了，換行大法直接報錯

拿出之前過安全狗的方法試了一下，溢出Content-Disposition:字段，

竟然就這麼成功了.

0x02 又一个问题​

現在傳是傳上去了，但是沒有返回完整路徑，也不知道傳哪兒去了，這咋整
掃當前目錄啥也沒掃到
然後掃了波一級目錄，發現存在upload目錄，

嘗試拼接，成功getshell

0x03 总结​

1.通過目標站點的公眾號處存在一處附件上傳，那麼可能存在任意文件上傳漏洞2.通過bp的intruder功能對後綴名進行批量fuzz，發現都被攔截，這裡又測試上傳test.aaa，內容為this is a test,發現可以上傳，那麼猜測目標站點存在WAF,攔截了後綴名3.接著測試上傳的內容為一句話木馬，可成功上傳，並沒有對內容進行攔截3.通過Content-Disposition:攔截字段填充可繞過waf成功上傳，並返回上傳的文件名，但是並不知道上傳的路徑如:Content-Disposition:aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa(大概超過128個字符）;name='file' ;filename='www.aspx'4.通過目錄掃描工具對目標站點進行掃描，發現在upload目錄時狀態為http200,嘗試拼湊鏈接訪問，可成功鏈接。 5.最後通過冰蠍成功鏈接一句話來源：https://xz.aliyun.com/t/10366