# 简介

这几天也是进行了一周左右的高强度渗透测试,也是挖出了十多个高危漏洞,下面分享几个有趣的案例,记录一下。

# 案例

# 一、某 CMS 系统 RCE

首先发现该 CMS 有一个自定义报表管理功能,可以执行一些正常的 Mssql 查询语句。然后我就想着尝试了 xp_cmdshell 函数,发现没法执行报错了。然后我就猜想 xp_cmdshell 函数没有开启,我就直接用了以下命令尝试开启:

execute('sp_configure "show advanced options",1')  

execute('reconfigure')                           

execute('sp_configure "xp_cmdshell", 1')   

execute('reconfigure')                       

execute('sp_configure')                           

execute('xp_cmdshell "whoami"')

再次执行发现可以利用 xp_cmdshell 执行命令,成功拿到一个严重漏洞。

# 二、某云平台文件上传

首先发现文件上传点,然后就开始测试。
第一步我先尝试上传非图片文件,立马被拦截了,无法上传。
第二步尝试上传图片抓包之后修改内容,如改为 1.html ,发现文件后缀被检测了,无法上传,有尝试了 txt,docx 等多个正常文件,仍然无法上传。
第三步尝试了绕过手段,将文件名改为 1.html 后面加一个空格,无法绕过。用 %00 截断,不行。尝试修改引号,“1.html”.jpg,直接被识别为图片了,不管引号的。用分号,“1.html;.jpg"不行。用"1.html%0a.jpg"不行。最后发现"1.jpg.html”。
最后上传成功,发现 "1.jpg.html" 居然可以成功上传。最后发现其检测机制是只匹配文件名中是否有 jpg 和 png,并没有前轴后缀一起检测。

直接复制文件路径访问