记一次从空白页面到拿下 CNVD 10.0 分 RCE 漏洞

本文记录了我入门数月小白的第一个实战RCE漏洞，为各位同样学习时间不长的师傅分享从小白视角看如何从简单的任意文件下载漏洞高效率到getshell，欢迎各位师傅发表评论指导

文章正文：

写在前面

1、本次漏洞挖掘单位比较敏感，请各位师傅原谅我图片的厚码。

2、本文会将我在漏洞挖掘过程中的踩得坑一同记录，可能比较啰嗦，请各位师傅多多包涵。

初探网站

本次的目标网站是一个比较经典的空白页面，访问url https://targeturl:8888/ 时自动跳转到 https://targeturl:8888/#/userlogin

根据url信息可以判断该页面应该是一个用户登录页面，但是可以看到该页面没有任何功能点，哪怕切换了设备仿真也没有看到功能点。

虽然没有功能点，但看到背景和小熊猫可以知道加载了静态资源，直接看一下接口。