从302到RCE,拿shell就像喝水一样简单

admin 2024年11月8日15:01:31评论11 views字数 1594阅读5分18秒阅读模式

免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1

Start

    从前两天《从404到RCE》的文章反馈来看,大家很喜欢看这个系列嘛(还没看过的铁汁可以点击链接查阅哦),刚好最近项目上又碰到一个比较有意思的网站,顺手也给记录了下来。

2

Action

    故事的开始总是那么的普通,老生常谈的开局一个登录框。什么?还有人不会测试登录框?快去参考参考斯叔之前的文章:抛开day不谈,为什么同样一个站你挖不到洞,别人却能咔咔上分?

从302到RCE,拿shell就像喝水一样简单

    简单识别了一下指纹情况,只有shiro,但是没跑出来key,刚燃起来的火焰又被浇灭了

从302到RCE,拿shell就像喝水一样简单

    试了弱口令也无果,JS里面也没翻到什么有价值的内容。偶然瞥到了url栏里面的/xxx/admin/login(/xxx指代一级目录),你说会不会存在未授权的后台页面呢?试了一下访问/xxx/admin/home,emmm不行,302跳转回了登录框

从302到RCE,拿shell就像喝水一样简单

    看似走头无路,但是汇总一下目前已知的一些信息来看。。。首先网站是用了shiro的……嗯?shiro?谁说shiro只有爆key反序列化漏洞?还有权限绕过诶,试了一下权限绕过的poc:/xxx/;/admin/home,成了!

从302到RCE,拿shell就像喝水一样简单

    但是光是这个漏洞还不够呀,不得行啊,不能辅助rce这就是个垃圾洞,看看还能不能继续深入。翻了一下home页面加载的js文件,没啥能利用的接口呀,那咋办?没啥好办法,只能使用fuzz大法了,burp导入密码本,开扫!

从302到RCE,拿shell就像喝水一样简单

    功夫不负有心人,还真让我扫到了一个目录/xxx/;/admin/content,有数据!感觉有戏。

从302到RCE,拿shell就像喝水一样简单

    不过目前都是在burp里面访问这些资源,如何在浏览器里面自动的让url添加/;/呢?我们只需要在burp的代理模块里面按照下图的步骤添加一个规则,这时候经过burp的代理流量就会自动将匹配到一级目录/xxx/后面添加;/实现自动的shiro权限绕过了

从302到RCE,拿shell就像喝水一样简单

    随机点了一个标题的查看功能点

从302到RCE,拿shell就像喝水一样简单

    有上传点!稳一半了

从302到RCE,拿shell就像喝水一样简单

    经过测试,共有三个上传的接口,分别是/uploadImage,/uploadPicture以及/uploadVideo,其中前两个是白名单校验,不能上传非图片后缀的文件,最后一个能上传jsp(提示上传成功),但是不返回文件路径。

    得盲猜文件路径了啊,有点难搞。不过当我回头分析/uploadImage接口的时候发现了一件事情,它是返回路径的,它告诉我文件保存在了/xxx/xx/res/images目录下面的

从302到RCE,拿shell就像喝水一样简单

    有没有一种可能,,/uploadVideo也是在/res目录下的?为了防止资源目录下可能不解析webshell文件,我特地在文件名处增加../跳跃到上一级目录,这样webshell的地址就在/xxx/xx/res/1.jsp了,上传成功

从302到RCE,拿shell就像喝水一样简单

    访问一下/xxx/xx/res/1.jsp,成了!

从302到RCE,拿shell就像喝水一样简单

    上传的马子是无害的自删除马子,访问后自动把自己删除掉

<%out.print("f7098ef4b298e771722e3935f309eb6e");new java.io.File(application.getRealPath(request.getServletPath())).delete();%>

    一不小心又shell了。

从302到RCE,拿shell就像喝水一样简单

3

End

    如果你也对网络安全感兴趣,不妨添加主页斯叔微信,大家一起互相交流学习。如果你愿意倾诉当前的学习苦恼,斯叔也会免费给铁汁做一个符合现状的职业规划。

    文章编辑不易,麻烦各位老铁动动发财的小手转发转发,点点赞,点点广告~~

原文始发于微信公众号(跟着斯叔唠安全):从302到RCE,拿shell就像喝水一样简单

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月8日15:01:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从302到RCE,拿shell就像喝水一样简单https://cn-sec.com/archives/3371913.html

发表评论

匿名网友 填写信息