迅雷分站逻辑错误GetShell后可内网渗透下载

发现迅雷跟奇艺顶级域名网段都用的一套系统，可惜java审计能力是渣渣，无能为力，待老衲回东莞修炼500年。

通过nslookup,子域名,phpinfo收集了一些迅雷的网段，这次看的都是应用层并没有对几个网段进行扫描。119.147.41.209

123.162.191.9

121.10.120.187

183.60.209.87

121.14.82.142

116.255.248.126

58.61.39.254

顶级域名段有个JIRA项目系统，奇艺也有，但是迅雷开了注册，可以登陆进去，但是没拿到shell，但是能收集到内网里面的项目跟信息，为了防止社工跟爆破还是禁止注册吧。下次分析了0day再来看这套系统。

在google,site:xunlei.com 上传，找到一个可上传的种子的站点，ping了下没有采用cdn在另外一个网段，迅雷这么大多业务，肯定有好多网段啦，于是开始行动。

传图片提示失败，看来用javascript限制了类型只能为种子文件torrent。本想禁止javascript上传但太麻烦，还是抓包吧。

改成1.php上传发现后上传成功，但是访问的时候却没有这个文件，

为了证实到底被删了还是根本没穿上去，于是又改成gif传了到，发现上传上去了，但是是处理过的图片，说明程序定义了这个content-type，

这个时候我有两个想法，第一个就是上传一个压缩文件看看是否会被处理，是否定义，是否有单独的文件，然后在改content-type进行欺骗；第二个就是注意到表单里面是files[]数组，说明能够同时上传多个文件，尝试下双文件欺骗，于是乎新建了个表单

<form enctype="multipart/form-data" method="post" action="http://pai.xunlei.com/server/">

<input type="file" name="files[]" />

<input type="file" name="files[]" />

<input type="submit">

</form>

第一个上传1.torrent，第二个上传2.php，发现上传成功。