当我还在被窝的时候,我们的@X1r0z大佬就已经在日站了。。

莫名其妙的后台拿shell加上Linux提权-ChaBug安全
或许这就是大佬吧。

大佬召唤,我不得不起床。
进入后台,寻找上传点,卧槽,发现FCK编辑器哎
莫名其妙的后台拿shell加上Linux提权-ChaBug安全
我们的XZ大佬现在连FCK编辑器都拿不下来了吗?那就到我装逼的时候了!
然后GG,点击上传图片竟然。。
5.png

怪不得,大佬可是给我扔了个黑锅啊。不过还好,旁边还有一个小文件上传,是个上传点。
莫名其妙的后台拿shell加上Linux提权-ChaBug安全
可是看到这个布局我突然有一种不详的预感。管他呢,burp一顿怼之后,草草放弃了。
因为不管怎么改文件名怎么截断都不解析啊。算了,再翻翻其他的。
莫名其妙的后台拿shell加上Linux提权-ChaBug安全
这个语言包管理直觉是能够利用,不过可能还要百度源代码审计,想想放弃了,毕竟人家还是小白呢。

继续翻,我就不信了,发现又一个上传点!
莫名其妙的后台拿shell加上Linux提权-ChaBug安全
好熟悉啊,和刚才发布文章的页面一毛一样!竟然在这有上传点。

那就开怼把!点击插入图片之后是这个样子
莫名其妙的后台拿shell加上Linux提权-ChaBug安全
很草率啊,不知道能不能上传。先上传一张正常的试试
莫名其妙的后台拿shell加上Linux提权-ChaBug安全
竟然ok?!那就再试试直接传php后缀的
莫名其妙的后台拿shell加上Linux提权-ChaBug安全
也上传成功了,但是没有返回路径???不急,我记得有一个文件管理。
莫名其妙的后台拿shell加上Linux提权-ChaBug安全
果然ojbk了。
莫名其妙的后台拿shell加上Linux提权-ChaBug安全
有没有很佩服我优秀的打码呢?
虚拟终端

竟然是Linux机器,2012年的,我们可以试试脏牛详情看这里

然后尝试链接提示

netstat -ntpl查看端口
莫名其妙的后台拿shell加上Linux提权-ChaBug安全
尝试后发现是55022
链接
13.png