信息搜集发现某致远系统
扫一下
存在一个XXE和文件读取漏洞
wpsAssistServlet接口下还有一个文件上传的Nday,但是工具没扫出来
手动测试一下,发现上传JSP文件无响应
后缀修改为txt,可以上传成功
绕过测试,加.,加空格,加::$data都不行
想换个目录试试,但是不知道具体路径;
随便改一下试试,通过报错获取到了网站绝对路径
这时只能想到利用文件读取,看看能不能读取什么有价值的信息
# 致远数据库信息
E:/seeyon/A8/base/conf/datasourceCtp.properties
数据库在内网,没法直连;
Windows任意文件读取好像也很难深入利用了
读取根目录看看有没有什么测试文件,发现之前有别人穿过jsp文件进去,并且没有删除
那么理应可能有别人上传的webshell,
对文件名进行fuzz,跑了好几个字典都没什么有用的信息,跑出来的大多数都是一些无害的jsp文件
这时想到前面的XXE漏洞,尝试利用XXE的file协议去列目录,发现没问题
构造一下,直接去列网站根目录
把得到的文件名整理,配合文件读取,发送到intruder模块
果然发现了几个webshell
分析得知这个jsp是一个cmd的webshell,
通过传入nihao参数,并base64加密
拿下拿下
原文始发于微信公众号(零威胁):文件读取+XXE组合拳getshell
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论