目前是目标站

发现暂时无法突破,一开始翻看js文件,发现有注册接口但是已经被关闭了,发现有apk文件
首先使用jadux对apk进行分析,对于攻击队想快速拿权限,关键是寻找有没有上传点,所以应该寻找upload,上传等参数,或者是越权,注册等相关行为,发现能进行上传接口

然后我们寻找到upload的接口,然后读取发现到hashmap这个参数,往上寻找发现hashmap构造的几个参数,于是猜测是上传需要的参数.
然后再跟随geturl()参数,跳转到声明的地方发现给出了相关地址

于是构造数据包想进行上传,但是出现了意外,无法上传成功

尝试访问该页面,不出意外的发现没有权限进行访问

于是想到,能不能利用开发者遗留的账号或者cookie值进行越权等相关操作,只能再进行审计,翻回原来的地方发现,有个apppcakge的相关参数,于是想到能否利用这个进行一个权限的访问

不出意外的成功了,读取该页面发现这是一个类似开法文档的手册,想到能否利用开发文档的相关参数再进行构造

发现还是有upload的相关参数,点进去,看到相关文档
okkkk,看到关键字fs=string&filename=xxx,想到马上能拿到shell了之后开心的不得了,理论上我们再使用上面审计到的口子就可以进行上传了是不是

但是不出意外的就要出意外了,仍然没有上传成功

现在处于心一冷的时机不知道该怎么办,于是求助了一位善良的大佬
学习到一个姿势,一般来说这种oa系统有可能部署到同一台服务器上的,而且根据其他资产的情况,不同的网站划分只是根据端口来进行划分的,所以有可能该端口无法上传,但是这个上传点在其他端口的情况,于是乎进行一个端口扫描,发现在探活的端口中一个61635端口对我们构造的数据包进行回显

然后读取发现,我们的上传已经成功了,于是乎getshell

最后发现前面最开始审计到的upload的路径也是要借助这个端口进行一个上传,而且相关参数要通过js发现相关接口得到来构造数据包