当任意文件上传偶遇Safedog

0x01 写在前面

渗透过程中可能会经常遭遇WAF，此时不要轻易放弃，绞尽脑汁竭尽全力，或许弹尽粮绝之时也是柳暗花明之日。

0x02 过狗上传

一次项目渗透过程中，找个一处上传功能

先上传图片，测试上传功能是否正常

功能正常，那么我们尝试上传木马

出现了安全狗，asp后缀直接被拦截了，尝试asa后缀：

还是不行，再次尝试cer、cdx、aspx、asmx、ashx等后缀都失败了，网站中间件是IIS7.5，已测试不解析php，自然也不会有解析漏洞。

这个时候我们发现上传表单中存在filelx参数，值为jpg，那么思路来了，修改为asp再次尝试

提示文件类型无法上传，修改为其他非jpg后缀时都是相同提示，猜测这里应该是白名单过滤。测试发现参数filepath控制上传路径，并且可以随意更改，我们简单尝试下

这里我们发现了一个非常有趣的现象，当我把路径改为upload/a时，上传文件路径就变成upload/a时间戳.jpg，这时我们灵感来了，如果我把路径后面的时间戳.jpg截断会发生什么？

我们果断构造路径upload/a.asp%00，%00用shift+ctrl+u转换下，提交数据包：

bingo，这里结果和我们预想的一样，浏览器访问一下：

文件存在，但是出现了错误，没关系，我们传下正常的asp webshell。几经尝试之后，我们终于通过脏数据+shell代码成功上传webshell。

0x03 执行受阻

拿了shell我们当然是上蚁剑梭哈了：

但是蚁剑提示了黑名单URL地址，这倒是从来没有遇到过，百度搜索也无果，这里更换菜刀尝试一下，有狗那么我们优先尝试过狗刀：

失败，继续尝试其他版本菜刀。这里又尝试了11版菜刀、14版菜刀、16版菜刀、CKnife、Altman，结果不尽人意，全部失败了。

不得已，我们直接祭出网页版webshell管理工具，成功连上webshell:

但是网页版实在是太蛋疼了，这里通过网页版上传冰蝎马，成功连上冰蝎：

但是此时高兴似乎还太早，执行命令没有反应：

更换aspx马，再次执行：

0x04 成功提权

更换aspx马后执行命令提示拒绝访问，想到可以手动上传cmd.exe，再调用执行即可，但是冰蝎没有右键虚拟终端的功能，所以我们上传一个aspx大马：

调用上传cmd.exe尝试执行命令：

再次失败，但是没有关系，办法总比困难多。这里想到既然网站支持.net脚本，那么极有可能使用SQLserver数据库，翻找一下文件，查找配置文件：

没过多久，我们便发现了sa账号密码，此时终于可以露出猥琐的微笑：

管理员权限！打完收工。