文件读取+XXE组合拳getshell

admin 2024年6月17日17:23:56评论13 views字数 573阅读1分54秒阅读模式

信息搜集发现某致远系统

扫一下

文件读取+XXE组合拳getshell

存在一个XXE和文件读取漏洞

文件读取+XXE组合拳getshell

文件读取+XXE组合拳getshell

wpsAssistServlet接口下还有一个文件上传的Nday,但是工具没扫出来

手动测试一下,发现上传JSP文件无响应

文件读取+XXE组合拳getshell

后缀修改为txt,可以上传成功

文件读取+XXE组合拳getshell

文件读取+XXE组合拳getshell

绕过测试,加.,加空格,加::$data都不行

文件读取+XXE组合拳getshell

想换个目录试试,但是不知道具体路径;

随便改一下试试,通过报错获取到了网站绝对路径

文件读取+XXE组合拳getshell

这时只能想到利用文件读取,看看能不能读取什么有价值的信息

# 致远数据库信息
E:/seeyon/A8/base/conf/datasourceCtp.properties

文件读取+XXE组合拳getshell

数据库在内网,没法直连;

Windows任意文件读取好像也很难深入利用了

读取根目录看看有没有什么测试文件,发现之前有别人穿过jsp文件进去,并且没有删除

文件读取+XXE组合拳getshell

那么理应可能有别人上传的webshell,

对文件名进行fuzz,跑了好几个字典都没什么有用的信息,跑出来的大多数都是一些无害的jsp文件

这时想到前面的XXE漏洞,尝试利用XXE的file协议去列目录,发现没问题

文件读取+XXE组合拳getshell

构造一下,直接去列网站根目录

文件读取+XXE组合拳getshell

把得到的文件名整理,配合文件读取,发送到intruder模块

果然发现了几个webshell

文件读取+XXE组合拳getshell

分析得知这个jsp是一个cmd的webshell,

通过传入nihao参数,并base64加密

文件读取+XXE组合拳getshell

文件读取+XXE组合拳getshell

拿下拿下

原文始发于微信公众号(零威胁):文件读取+XXE组合拳getshell

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年6月17日17:23:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   文件读取+XXE组合拳getshellhttp://cn-sec.com/archives/2856637.html

发表评论

匿名网友 填写信息