**背景**

最近在做渗透测试时遇到一个很有意思的SRC案例。通过文件名注入的方式进行Getshell，只能说确实有点“操作”，走过路过，不要错过。具体过程见是实战。

**实战**

本次实战的案例是一个小程序，通过特殊手法收集到的隐藏资产，怎么个手法，具体阅读作者前期的文章[分享1个发现隐藏资产的技巧，附实战](https://mp.weixin.qq.com/s?__biz=MzkxMjg3NzU0Mg==&mid=2247488233&idx=1&sn=b9b47437e21fc89e0bccb43879dd62c9&scene=21#wechat_redirect)。

![图片](/media/202605/27aa815cbf984d89bab3062b68bc00036919.png)

进入小程序后，可以看到一些功能职业鉴定的功能，简单测试后，并未发现漏洞。

![图片](/media/202605/422593cf6dfe48fe9ffec5be27b9394c5064.png)

随后进入个人中心。大部分为个人维护的功能，如基本信息、获奖信息、学历信息、我的证书等功能。

![图片](/media/202605/effd9b5a92a24391b72be2f79c1405794252.png)

以上的功能都是与后台有交互的，出洞的可能性就会高点。

首先进入获奖信息功能，可以看到可以录入上传个人的证书。

![图片](/media/202605/f8476696474d48519e0d4a7ccb9d50856331.png)

点击添加证书，可以看到文件上传到的功能，看到文件上传，那就是基操了，没啥好说的。经过测试，发现文件进行了限制，但也是仅限于前端。

抓包发现，会直接对文件进行base64转码。

![图片](/media/202605/2101a19bcdde4d0e99b020aa159302e51735.png)

看到这，有几个操作，那就是文章开头，作者提到的文件名注入，具体啥回事？看下文。直接改这个content-type。

![图片](/media/202605/dd21929a61e64cbda6ddfb5ae5e367508269.png)

刷新下请求证书的接口。可以看到，文件名改为了html。妙哉。

![图片](/media/202605/a01d83630421420bb0e815b2901b6bc13659.png)

通过此方法可以绕开后端的文件后缀的限制。访问下上边的文件，成功解析，先xss一下。

![图片](/media/202605/f686d27488cc48a9a6306293a0a71f376407.png)

通过后端返回的信息，可以看到后端的开发语言是asp。利用上述的操作手法，写一个asp的“马”验证下。

```
<%Response.Write("test...")%>
```

然后使用burp的编码工具，编成base64。

![图片](/media/202605/27bb66efc301482e807f371aaf82f9051383.png)

上传文件时，修改文件内容，如下图。

![图片](/media/202605/3e881d2694254b23aedb851fbfa8b3413999.png)

提交成功，再刷新下请求证书的接口，拿到了文件路径，直接拼接，getshll了！

![图片](/media/202605/55795f8bebfb470f82eea65497221a583860.png)

仅证明危害，点到为止，未进一步上传“马”。

小程序资产测文件上传