宝子们现在只对常读和星标的公众号才展示大图推送，建议大家把李白你好“设为星标”，否则可能就看不到了啦！

周末闲来没事干，分享下周末挖的一个垃圾0day

直接弱口令进去

目的明确，找找上传点

原来是小黑子（黑名单）

直接jspx上传看看

上传成功，但你到是给我返回路径啊

复制上面的看看

我干，直接下载出来了，直接f12看看找找jpg路径

发现还是有相同时间命名的文件
Fuzz路径看看，应该2015是时间，logo是上传的参数，最后是时间命名的文件

全是400

真是多看一眼就爆炸，再近一点靠近点快被融化

在找找别的图片路径看看有没有发现
翻着翻着看见一个小喇叭，出于好奇点开看看

点开看看，开启f12大法

突然这个时候想到，找个人设置瞅瞅
说出来不怕笑话，找个人设置找了半小时
Tm的藏这么深

你大爷的

不急，咱们获取下路径就行，上传jpg看看（上传的照片是他之前的）

然后拼接看看

可行，我以为前段只是js校验的时候是我想多了。

啥也不返回，然后我对比前面上传的包

一个path参数=cooperate，一个是=peopleinfo
原来path参数就是文件夹命名
那还说啥，直接拼接下机

我真的会谢，我以为是我搞错的时候，上传个txt看看

没毛病啊，难道是这个目录不解析jspx

根目录是解析jspx的，所以尝试下path参数跨目录

报500,不支持跨目录？，尝试下用/

上传成功

也不行，上传txt确可以跨了个目录

也试了编码这些，正当准备提桶跑路的时候
想到../不行试下..\

梭哈的艺术

正当准备复制连接的时候，不小心点快了，吧页面删了，直接重新传个命令马

愉快的周末，现在终于能下机了

文章来源：先知社区（呱呱yyy啊）

原文链接：https://xz.aliyun.com/t/12282