SRC案例-一次移花接木的getshell

声明：本案例来自J0神，此处只是做学习研究之用

漏洞发现

1. 是一个提供⾳乐播放业务的资产

2. F12简单看下⽬标信息环境

• ServerSoft:IIS 7.5 CMS:JYMusic(ThinkPHP)

3. 找到一处CSS资源⽂件，试了下文件解析漏洞，成功了：get一个IIS7.5的文件解析漏洞，那么现在只需要找到上传点+文件解析漏洞就能getshell 了

4. 尝试了修改头像处，发现对上传的文件进行了二次渲染，上传⼀些⼆次渲染后仍能执⾏的Webshell后，依然发现⽆法正常getshell，遂放弃这一点

5. 头像上传⾛不通那么只能另寻出路，来到分享⾳乐功能，但这里的功能用户自己上传文件修改成了⼈⼯邮箱审核，但是猜测上传接⼝还是存在的，于是根据目标CMS特征找到其他可以用户上传分享⾳乐(未改动)的网站，借用其接口，同一套CMS，二者接口肯定是一致的

6. 于是，通过fofa找到⼀个功能正常的站点，以下称为www.bbb.com，这个站点的分享⾳乐功能是正常的

7. 直接上传含有一句话木马的⾳乐⽂件

8. ⽂件正常上传，但是没有返回上传路径，提交整个表单试试，提示没有分类数据

9. 没事直接前端加一个就行了，祭出神器F12给select标签加⼀个有value值的option。

10. 提示分享成功，查看审核列表也有了，编辑发现ID为23，⾸⻚随便点进去⼀个发现id为21。

11. 同时发现存在一个接⼝可以获取⾳乐上传路径，替换为ID=23后取得路径

12. 这些是在www.bbb.com的分享音乐功能操作，已知可上传含有木马的mp3，可利用接口获取上传路径，但是我们的目标是先前的网站，由于先前的网站无法显式地上传文件，我们才去同类网站找上传接口的，现已找到，于是只需把在www.bbb.com的分享音乐功能操作，在先前的网站再做一遍就行了。直接把www.bbb.com上传⾳乐⽂件的请求，移花接⽊到www.aaa.com上（burp改包host和cookie，提交时改fileid）

13. 通过解析漏洞访问我们后缀名为MP3的webshell，成功getshell！