0x01 前言
记一次利用插件细节发现任意文件读取漏洞挖掘过程。在一次挖洞的过程中发现的一个细节问题,没有这次细节的发现也拿不到后台的密码,正所谓细节决定成败。通过dirsearch发现后台路径,利用漏洞读取服务器文件并获得了数据库配置文件中的密码。通过查看CMS的README文件,发现了后台的默认密码,成功登录后台。注意未授权千万不要进行任何测试行为。
末尾可领取挖洞资料文件
0x02 漏洞发现
利用dirsearch找到 /a 目录的后台登陆路径
可以从后台路径从,利用插件找到一个github链接
CMS确定版本为JeeSite 1.2.7
从搜索引擎或Nday漏洞库找到已有的nday漏洞,进行盲打一波
EXP /userfiles;a/a/a/a/a/a/a/a/a/a/a/a/userfiles/../../../../../../../etc/passwd可见EXP成功了,直接读取到了 /etc/passwd
搞过Java代审的都知道,WEB-INF目录下一般都是放在网站的相关配置文件
后面读取/WEB-INF/web.xml、找到的jeesite.properties配置文件,进行读取 WEB-INF 存放与网站运行相关的配置文件和资源、一般不对外开放。
这里我也可以从代审中找到路径,考虑到开发者会有改变路径到情况,还是以防万一的从实战环境中读取文件经过代审可以看到jeesite.properties 是在 classes文件夹下,而不是 WEB-INF 文件夹下,这是因为 工程编译完成的时候会自动将这个.properties文件复制到class目录下。
得到了数据库密码,很可惜的是网站没有对外开放3306端口,所以没用。
思路原本是打算从数据库中读取后台登陆密码,可惜没对外开放3306,这条路行不通,换一条。
这次细节尤为重点,关键点在这 从CMS READ.md看到了默认密码,直接进行登陆。
直接登陆成功
还是太菜了后续并没找到拿下shell的方法,到此就结束了
0x03 总结
最后挖洞的细节也很关键,没有这次细节的发现也拿不到后台的密码,正所谓细节决定成败。喜欢的师傅可以点赞转发支持一下谢谢!
0x04
原文始发于微信公众号(渗透安全HackTwo):记一次利用插件细节发现任意文件读取漏洞挖掘过程|挖洞技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论