审核后找到上传点,form.ftl 这里有一篇文章缩略图上传点看他是否做了过滤然后根据action找到上传接口
在FileAction.class中搜索后只判断这里../防止目录跳转,继续往下看点击继承类
BaseFileAction.class 我发现他做了一个后缀判断,然后查看过滤器被调用的地方。
copy denied 全局搜索,application.yml 发现他在配置文件中写了filter过滤了exe,jsp,jspx,sh 就是说除了这四个以外其他都可以上传。
看看他有没有可以上传jsp的接口,搜索到TemplateAction.class有专门分析zip接口然后结合上面的过滤就可以上传zip了,能够通过zip包含jsp的恶意文件上传然后这个接口调用解析zip和解析jsp并访问。
基于分析代码的操作
找到文章缩略图地址,点击上传zip
上传后右键复制图片路径,然后通过上面分析的调用zip接口解析fileUrl=刚刚上传的zip回车提示执行成功
查看上传目录后发现解压成功了我们是通过路径aaaaa.jsp访问然后用Godzilla连接他发现执行成功