0x00 前言
在近段時(shí)間的實(shí)戰(zhàn)中,遇到一個(gè)使用多漏洞組合方式獲取目標(biāo)系統(tǒng)權(quán)限的環(huán)境。通過sql注入,賬號密碼爆破,任意文件下載,文件上傳等多個(gè)漏洞獲取webshell。
0x01 web打點(diǎn)
給到目標(biāo)后,還是先進(jìn)行信息收集,隊(duì)友發(fā)現(xiàn)目標(biāo)使用了jeeplus框架,并且發(fā)現(xiàn)該系統(tǒng)存在通用漏洞sql注入漏洞,該漏洞點(diǎn)存在于登錄界面的mobile參數(shù)。
注入為mysql數(shù)據(jù)庫,并且是dbs權(quán)限,通過注入點(diǎn)的報(bào)錯(cuò)信息獲取絕對路徑,嘗試使用os-shell獲取權(quán)限,未成功。
在注入無果后,發(fā)現(xiàn)了系統(tǒng)采用了shiro框架,使用shiro工具進(jìn)行驗(yàn)證,同樣未成功。
注入和命令執(zhí)行都噶了,還是要登錄后臺(tái)找找上傳進(jìn)行嘗試,通過注入跑了下賬號信息,獲取了賬號密碼信息。后發(fā)現(xiàn)jeeplus的密碼為魔改的加密算法不可逆,只能獲得賬戶名,又噶住了。
想起了網(wǎng)上大佬jeeplus的漏洞復(fù)現(xiàn)文章,發(fā)現(xiàn)jeeplus使用了2個(gè)熟悉的組件druid和fastjson。看了大佬的文章知道了druid可以監(jiān)控DB池連接和sql執(zhí)行情況。訪問/druid/目錄即可看到控制臺(tái)信息,并且控制臺(tái)可以看到session信息,并且通過session信息可登錄系統(tǒng),趕緊去嘗試了一下。"嗯,確實(shí)存在控制臺(tái),但我的session信息呢?"
又白給了一波后,隊(duì)友還是準(zhǔn)備嘗試最穩(wěn)妥的方式通過注入獲取的賬號,鎖定密碼,爆破用戶名,嘗試是否可以進(jìn)入系統(tǒng)。
運(yùn)氣很好先鎖定的123456就爆破出了賬號,感覺shell已經(jīng)在招手了。登錄系統(tǒng)直接訪問/a/sys/file尋找通用文件上傳漏洞,發(fā)現(xiàn)該漏洞點(diǎn)已經(jīng)404了。
尋找系統(tǒng)其他上傳點(diǎn),發(fā)現(xiàn)系統(tǒng)上傳頭像處和公告信息處存在上傳點(diǎn),進(jìn)行測試后發(fā)現(xiàn)系統(tǒng)沒有對后綴進(jìn)行過濾,但是文件上傳后只能進(jìn)行下載,不進(jìn)行解析。
就在要放棄的時(shí)候突然發(fā)現(xiàn)在上傳數(shù)據(jù)包中,存在一個(gè)路徑參數(shù)。
在刪除原先的路徑后依舊上傳了文件,并且原先的路徑去除了刪除的路徑。
嘗試使用../看是否能讓文件存在上一級目錄中,發(fā)現(xiàn)文件確實(shí)進(jìn)行上傳,并且存放在了上一級目錄。這個(gè)目錄跨越又讓人看到了希望。既然目前的目錄直接下載文件不進(jìn)行解析,那只要上傳到web目錄下說不定就可以進(jìn)行解析。從文件上傳處獲取的路徑和注入爆出的web目錄不是一個(gè)目錄。嘗試將文件上傳到web目錄下。
系統(tǒng)在/a/sys/file/download/處存在任意文件下載漏洞,我們通過此漏洞判斷文件是否上傳成功。
根據(jù)注入路徑進(jìn)行上傳,成功目錄跨越進(jìn)行webshell上傳,獲取目標(biāo)系統(tǒng)目標(biāo)系統(tǒng)權(quán)限。
-
Web
+關(guān)注
關(guān)注
2文章
1253瀏覽量
69057 -
數(shù)據(jù)庫
+關(guān)注
關(guān)注
7文章
3712瀏覽量
64025 -
MySQL
+關(guān)注
關(guān)注
1文章
789瀏覽量
26283
原文標(biāo)題:記一次組合拳滲透測試
文章出處:【微信號:Tide安全團(tuán)隊(duì),微信公眾號:Tide安全團(tuán)隊(duì)】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論