亿宝娱乐实战LFI+文件上传组合拳拿RCE_HUC惠仲娱乐

亿宝娱乐

要分享这篇Writeup是作者在一次私人赏金项目上发现的,目标网站存在不安全的访问控制措施,可以利用其导致路径遍历(Path Traversal) +任意文件上传,以本地文件包含(LFI)方式,实现远程代码执行(RCE)。此处渗透测试测试是一次非常经典的的LFI+任意文件上传操作。考虑到站点隐私的问题,部分图片会做打码处理。

路径遍历(Path Traversal)

目标站点上有一个名为/se/v92711/generic/gn_deaultframe/2.0/defaultframe_toolbar_load.php的页面,在POST body中,作者发现了一个有趣的参数:frameManagerPath,内容经过base64-encode处理。这个参数用于加载目标站点上的JS文件。如下图:

解码base64,发现这是一个相对路径:

接下来尝试读取/etc/passwd的内容,需要先进行编码:L2V0Yy9wYXNzd2Q=

关于文件上传

在此之前,作者找到了一个文件上传点,可以上传任意格式文件,并且上传文件的存放路径可以在响应中看到。如下:

但问题来了,外部用户无法访问/wwwroot/path:/.。因此,这个漏洞暂时有些鸡肋。

打组合拳

首先,上传一个普通的webshell,反回文件存放的相对路径。

对路径做调整,base64-encode处理得到cmFudC9ibG9nL3BhdGh0cmF2ZXJzYWwvaW1hZ2UwNS5wbmc=,然后结合LFI,尝试执行。

请求:

响应:

最终,作者实现了远程代码执行:

参考来源:incogbyte