从弱口令到 RCE，就是这么简单！

信安之路文库第 158 篇文章（点击文末 阅读原文，查看文库目录）

在一次渗透测试中，针对某个系统进行常规的目录枚举操作，发现一个隐藏目录 Config，访问时需要 401 认证，尝试弱口令 admin/admin，登录后显示目录：

通过列出的目录发现， image 目录下存在一个压缩文件：

下载后，解压：

打开说明文档：

其中提到一个修改 logo 的接口，使用 burp 请求，发现接口存在并且可以访问：

尝试使用浏览器访问：

可以上传文件，那么尝试看看能否直接上传个 webshell，经过多次尝试后以失败而告终，最后测试看看文件名处是不是有一些常见的漏洞，比如 SQL 注入，XSS、RCE 等，功夫不负有心人，终于让我发现了一个 RCE：

payload 为：

filename=”test||sleep 30 ||.gif”

猜测后端使用命令行工具进行文件转换，从而导致 RCE 漏洞的出现，整个过程看上去还是比较简单的，但是每一步都需要测试很多步才可能有进展，所以渗透测试，既是一个技术活，又是一个体力活，在不断的尝试中发现问题。