0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

记一次组合拳渗透测试

jf_vLt34KHi 来源:Tide安全团队 作者:Tide安全团队 2022-11-17 10:56 次阅读

0x00 前言

在近段时间的实战中,遇到一个使用多漏洞组合方式获取目标系统权限的环境。通过sql注入,账号密码爆破,任意文件下载,文件上传等多个漏洞获取webshell。

0x01 web打点

给到目标后,还是先进行信息收集,队友发现目标使用了jeeplus框架,并且发现该系统存在通用漏洞sql注入漏洞,该漏洞点存在于登录界面的mobile参数

c47cf2c8-6590-11ed-8abf-dac502259ad0.png

注入为mysql数据库,并且是dbs权限,通过注入点的报错信息获取绝对路径,尝试使用os-shell获取权限,未成功。

c497b9be-6590-11ed-8abf-dac502259ad0.png

c4d3e042-6590-11ed-8abf-dac502259ad0.png

在注入无果后,发现了系统采用了shiro框架,使用shiro工具进行验证,同样未成功。

c4e90300-6590-11ed-8abf-dac502259ad0.png

c52ba3ae-6590-11ed-8abf-dac502259ad0.png

注入和命令执行都噶了,还是要登录后台找找上传进行尝试,通过注入跑了下账号信息,获取了账号密码信息。后发现jeeplus的密码为魔改的加密算法不可逆,只能获得账户名,又噶住了。

c5500ff0-6590-11ed-8abf-dac502259ad0.png

想起了网上大佬jeeplus的漏洞复现文章,发现jeeplus使用了2个熟悉的组件druid和fastjson。看了大佬的文章知道了druid可以监控DB池连接和sql执行情况。访问/druid/目录即可看到控制台信息,并且控制台可以看到session信息,并且通过session信息可登录系统,赶紧去尝试了一下。"嗯,确实存在控制台,但我的session信息呢?"

c5697e72-6590-11ed-8abf-dac502259ad0.png

又白给了一波后,队友还是准备尝试最稳妥的方式通过注入获取的账号,锁定密码,爆破用户名,尝试是否可以进入系统。

c591fe6a-6590-11ed-8abf-dac502259ad0.png

运气很好先锁定的123456就爆破出了账号,感觉shell已经在招手了。登录系统直接访问/a/sys/file寻找通用文件上传漏洞,发现该漏洞点已经404了。

c5a28c62-6590-11ed-8abf-dac502259ad0.png

寻找系统其他上传点,发现系统上传头像处和公告信息处存在上传点,进行测试后发现系统没有对后缀进行过滤,但是文件上传后只能进行下载,不进行解析。

c5c7264e-6590-11ed-8abf-dac502259ad0.png

c5d9df14-6590-11ed-8abf-dac502259ad0.png

c619090a-6590-11ed-8abf-dac502259ad0.png

就在要放弃的时候突然发现在上传数据包中,存在一个路径参数。

c63e33b0-6590-11ed-8abf-dac502259ad0.png

在删除原先的路径后依旧上传了文件,并且原先的路径去除了删除的路径。

c64ed4ea-6590-11ed-8abf-dac502259ad0.png

尝试使用../看是否能让文件存在上一级目录中,发现文件确实进行上传,并且存放在了上一级目录。这个目录跨越又让人看到了希望。既然目前的目录直接下载文件不进行解析,那只要上传到web目录下说不定就可以进行解析。从文件上传处获取的路径和注入爆出的web目录不是一个目录。尝试将文件上传到web目录下。

c66e271e-6590-11ed-8abf-dac502259ad0.png

系统在/a/sys/file/download/处存在任意文件下载漏洞,我们通过此漏洞判断文件是否上传成功。

c692f152-6590-11ed-8abf-dac502259ad0.png

c6c16fd2-6590-11ed-8abf-dac502259ad0.png

根据注入路径进行上传,成功目录跨越进行webshell上传,获取目标系统目标系统权限。

c6f328a6-6590-11ed-8abf-dac502259ad0.png

c7081a4a-6590-11ed-8abf-dac502259ad0.png

审核编辑:汤梓红
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Web
    Web
    +关注

    关注

    2

    文章

    1255

    浏览量

    69322
  • 数据库
    +关注

    关注

    7

    文章

    3760

    浏览量

    64267
  • MySQL
    +关注

    关注

    1

    文章

    801

    浏览量

    26437

原文标题:记一次组合拳渗透测试

文章出处:【微信号:Tide安全团队,微信公众号:Tide安全团队】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    【freeRTOS开发笔记】一次坑爹的freeTOS升级

    【freeRTOS开发笔记】一次坑爹的freeTOS-v9.0.0升级到freeRTOS-v10.4.4
    的头像 发表于 07-11 09:15 4554次阅读
    【freeRTOS开发笔记】<b class='flag-5'>记</b><b class='flag-5'>一次</b>坑爹的freeTOS升级

    使用HAProxy软件的一次学习过程介绍

    一次学习过程
    发表于 06-13 10:48

    一次网站设计稿的方法

    一次网站设计稿
    发表于 06-16 09:43

    web渗透测试流程

      渗透测试是什么?网络安全学习中,web渗透测试流程是怎样的?后渗透的详细步骤解析如何?  渗透
    发表于 01-29 17:27

    循环充放电一次就是少一次寿命吗?

    循环充放电一次就是少一次寿命吗?     循环就是使用,我们是在使用电池,关心的是使
    发表于 11-11 13:59 844次阅读

    电池循环充放电一次就是少一次寿命吗?

    电池循环充放电一次就是少一次寿命吗? 循环就是使用,我们是在使用电池,关心的是使用的时间,为了衡量充电电池
    发表于 09-06 11:05 3592次阅读

    一次CH552不识别无法下载解决办法

    一次CH552不识别解决办法插入链接与图片如何插入段漂亮的代码片生成个适合你的列表创建个表格设定内容居中、居左、居右SmartyPa
    发表于 01-12 19:15 5次下载
    <b class='flag-5'>记</b><b class='flag-5'>一次</b>CH552不识别无法下载解决办法

    电气一次识图基础

    电气一次识图基础
    的头像 发表于 11-12 11:24 2097次阅读

    怎样用摇表来测试一次消谐是否合格

    怎样用摇表来测试一次消谐是否合格 一次消谐器用摇表测试的方法如下: 首先将一次消谐器接线,接上测试
    发表于 02-27 14:35 335次阅读

    一次内网中反弹shell的艰难历程

    最近在客户现场对内网服务器进行渗透测试,发现了大量的弱口令,本次历程就是从这里开始。
    的头像 发表于 03-07 09:30 1120次阅读

    一次消谐如何接线

    一次消谐如何接线 一次消谐器是种用于消除电力系统中谐波的装置,通常需要与电容器和电抗器组合使用。在安装一次消谐器时,需要注意以下接线步骤:
    的头像 发表于 03-22 16:50 2023次阅读

    渗透实战:一次弱口令的挖掘

    由于web只找到两个登陆页面,其他什么都找到,那么只能先对登陆页面进行测试。看到前台登陆页有短信登陆功能,马上想到短信发送是否有频率和次数限制,如有则存在短信炸弹漏洞。虽说不是什么危害性很大的漏洞,但漏洞就是漏洞!然鹅,这么简单都洞找不到,哭了。
    的头像 发表于 05-06 11:50 1467次阅读
    <b class='flag-5'>渗透</b>实战:<b class='flag-5'>记</b><b class='flag-5'>一次</b>弱口令的挖掘

    脚本小子的一次渗透全过程

    .前言 在一次综合渗透的过程中遇到的比较完整的渗透流程。很多现查的技巧,这次渗透的基础是基
    的头像 发表于 06-14 09:21 543次阅读
    <b class='flag-5'>记</b>脚本小子的<b class='flag-5'>一次</b><b class='flag-5'>渗透</b>全过程

    一次性无菌注射针针尖韧性测试

    检测一次性使用无菌注射针针管的韧性就需要用到一次性无菌注射针针尖韧性测试仪,今天威夏科技就为您详细讲解一次性无菌注射针针尖韧性测试仪。
    的头像 发表于 01-30 17:23 914次阅读
    <b class='flag-5'>一次</b>性无菌注射针针尖韧性<b class='flag-5'>测试</b>仪

    手表按键力测试机:品质掌握在每一次按键间

    手表按键力测试机:品质掌握在每一次按键间
    的头像 发表于 12-27 09:09 540次阅读
    手表按键力<b class='flag-5'>测试</b>机:品质掌握在每<b class='flag-5'>一次</b>按键间