0x00前言

前面大體概括一下獲取webshell的一個思路，此服務器存在是哪個系統，利用第一個系統獲取到了老師以及學生的學號，其他的沒有什么價值的信息，雖然存在文件上傳，但是上傳的文件目錄不是在web目錄底下的，后來通過連接了webshell也證實了這一點，利用手機到的老師以及學生信息，成功登錄了第二個系統，第二個系統學生登錄后處存在上傳，但是沒有路徑，并且不能訪問到上傳的文件，老師登錄可以下載到學生上傳的文件，通過抓包可以枚舉所有目錄以及文件，后來通過枚舉發現此處的上傳點也不在網站根目錄下，然后回到學生上傳處，發現文件上傳可以通過構造文件名達到上傳到任意目錄的功能，但是這時候又有一個問題來了，雖然可以上傳到任意目錄，但是網站根目錄到底在哪里呢？好了，講的有點多，剩下的東西就看下文吧。

0x01網站初探

1月份初，公司一實習生晚上發來一個域名帶VIP的網站，微信打開提示色情網站，我說可以，剛來沒多久就摸清了我的喜好了，殊不知是他學校的一個管理系統，為了保護實習生的權益，全文高強度馬賽克。由于這站是半個月之前搞得，好多截圖都找不到了，就用聊天記錄的方式放出來吧

給了學號，給了密碼，進了后臺，還有搞不下來的站?這站告訴我，這個b我裝失敗了，我說給我5分鐘，結果50分鐘過去了，無果。

0x02 搞站需要耐心

是的，搞站確實需要耐心，我經常盯著一個站看好久，1個小時?3個小時？6個小時？10個小時？，我記得之前公司的某汽一個項目，那個網站我從晚上8點看到第二天早上10點，最終是拿下來了（時刻掐住人中防止猝死）。沒有拿不下來的站屬實有點吹nb了，但是如果我想搞的站，有一定點的希望我也會搞下去。

在經過了一個多小時的奮戰，得到了一個結論，此站的上傳文件的目錄不在此網站根目錄下，文件的下載方式是通過參數傳遞下載的，不要問我為什么，問就是他不在。

下載的時候看到的文件內容，馬賽克過于嚴重，大概意思就是某個目錄的某個文件夾

過了一會實習生發來了一個老師賬號，登上去，跟學生的系統沒啥兩樣，還是無果，我太菜了，還有一處信息泄露，泄露了所有學生老師的賬號。

0x03??發揮腦洞 ? 慢慢搞

發揮腦洞，慢慢搞，我也沒整下來，我妥協了，我承認我菜這個事實。

看到此服務器別的端口存在另一個管理系統

嘗試了一下之前的學號跟密碼，沒有登錄上去，啟用了100萬的大字典也沒進去，我感覺不應該，這個不可能每一個弱口令啊。

后來又嘗試一下把密碼輸為學號，絕了，進去了，開局4個上傳點，webs hell有戲了呀

通過抓取上傳的數據包，沒回顯路徑，學生處也沒下載的功能，后來測試到此系統存在越權，可以通過修改stuid為他人提交論文

轉戰老師賬號，可以下載學生文檔，并且下載的功能是顯示文件目錄的，所以這里就存在任意文件下載。

讀取到的配置信息

回到學生上傳處，既然知道文件路徑以及格式了，看看能不能繞后綴，在測試上傳的時候測試到了一處注入，這里先放著(后來又發現好幾處注入，并且有一處前臺未授權注入)

利用空格繞過了文件白名單(這里姿勢很多)

并且目錄可控，通過老師下載處發現成功上傳了jsp文件

(假裝有圖.jpg)

但是不知道網站根目錄，上傳的文件根本訪問不到

路又走絕了

0x05搞不下來不睡覺

這里已經是凌晨12點了，實習生要睡了，我也立下flag了，搞不下來不睡覺。

有時候很多站都是死在不知道網站的絕對路徑上，之前我也總結過很多的方法，都試過了，發現不行。

突然想起來還有一處注入，利用注入成功的獲取到管理員的賬號以及密碼。

登錄到管理員界面，發現了文件上傳的配置，可以修改上傳文件的目錄，也就是說，我們只要知道網站的根目錄，就可以直接getshell。

但是很顯然，不知道，那么接下來這就應了網站的標題，讓他報錯！讓他報錯！讓他報錯！讓他報錯！讓他報錯！讓他報錯！讓他報錯！讓他報錯！

怎么讓他報錯呢？我這里將他上傳文件的目錄改為了一個不存在的目錄，然后到學生長傳文件處，上傳文件，趴一下，目錄出來了~

(假裝有圖.jpg)

因為時間太久了，也不想再登上去再來一遍截圖了

凌晨12點半，成功整下來了，我的B裝成功了。默默的給同事發了條消息，用發抖的手點了跟香煙，這一刻真的是太舒服了，

0x06總結

在以往日常工作和一些攻防演練中，好多時候都是在準備放棄的時候看到了希望，滲透需要細心，耐心，一些小的細節可能就會決定你的成敗。年底了，亂七八糟的事，整的很亂，本文也寫的馬馬虎虎，希望明年的選擇是對的吧，加油吧少年！

總結

以上是生活随笔為你收集整理的某大学多站联动获取webshell的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。