background

之前的一次打过这个系统然后发现与之前打的系统是一样的之前怎么打进去的呢？是别人iis短文件名泄露拿的源码审的洞。至于poc啊，我也没有啊，报告里也没写全这个poc。但是好在有路径，但是数据包我是真看不懂，一堆啥玩意啊，他报告里也没写，就标了个漏洞点的函数。那只能我自己试试了，然后我才知道，虽然能直接上aspx的木马，是解释型语言，但是这玩意同样要编码，直接是看不到源码的，得反编译一下。从来没接触过，只能试试，用的ilspy。

路由追踪

web页面的触发点和路径已经有了现在就是不知道需要提交什么样的参数

打开对应的asmx页面

发现啥也没有东西都在app_code里面去了然后类名也有了直接反编译这个dll 找到对应的类

点开这个箭头里面有一大堆类

找到了然后发现这里是走了DESDeCode

直接进到CsSubDes里去看这里就是常规的DES解密秘钥都有了然后就手扣报告里的数据拿去解密

需要解密出来的结果是900 因为最终要走SubUpLoadImage实现文件上传

死活解不出来其实是我只放了key却忽略了iv 这里的key和iv是一样的我上面代码里标出来了然后就解决了数据加密的问题

然后就是上shell

很明显了内容base64编码一下然后路径文件名称路径就是./

结果洞修了废了试了下解析漏洞畸形文件名啥的都不行开发还有有点东西啊文件名过滤了?这些字符这个点八成是打不了了

洞肯定还有只不过我懒得看了主要是也看不懂这是关键本来是懒得看的但是写到这里有感觉还是可以再看看的于是有了下面的内容

找上传

找到了一个上传的

构造数据的时候发现不行仔细一看他跟上面的不是一个口子就是?op=的值不一样

这边的数据采用了新的算法挂不得说之前方法构造的数据不一样了

跟一下算法又是个AES但是这里的keys是字节啊不是字符串啊怎么办？

我哪懂这个啊直接和GPT斗智斗勇说实话感觉GPT真的是越来越蠢了真的改了好久才整出来一下子keys没用上一下子IV没用上

from Crypto.Cipher import DES
from Crypto.Util.Padding import pad
import base64

# 定义密钥和 IV
PVAR_KEY = "xxxxxxxx"  # 密钥字符串
KEYS = PVAR_KEY.encode('utf-8')  # 使用给定的密钥
IV = bytes([0, 0, 0, 0, 0, 0, 0, 0])  # 示例 IV，通常应随机生成

def encrypt_des(plaintext):
    if len(KEYS) != 8:
        raise ValueError("密钥长度必须为8字节")
    
    # 创建 DES 加密器
    cipher = DES.new(KEYS, DES.MODE_CBC, IV)
    
    # 填充明文以适应 DES 块大小（8字节）
    padded_plaintext = pad(plaintext.encode(), DES.block_size)
    
    # 执行加密
    ciphertext = cipher.encrypt(padded_plaintext)
    
    # 将密文编码为 Base64 以便于传输和存储
    return base64.b64encode(ciphertext).decode()

# 示例用法
plaintext = "要加密的数据"
ciphertext = encrypt_des(plaintext)
print(f"密文: {ciphertext}")

构造数据之后发现还不行仔细一看这里还过了个函数并且需要结果为ok

跟进去啥也看不懂啊数据库？查询？我这里还要指定库名。

我试着放一下sql语句压根不行啊他这里有限制老早就过滤了在最外层就算能够执行语句了怎么办我也没思路于是放弃

峰回路转

还是之前的接口发现另一个口子其实跟上面的是一样的不用管下面数据库文件能写入不就完事了吗于是写文件然后发现base64解码错误后面感觉应该是+的原因把base64整体url编码一下再AES 就OK了出货