渗透测试 | 某系统三连shell

2025年4月22日09:53:24评论18 views字数 632阅读2分6秒阅读模式

漏洞1：模板注入

在日志查询处触发该数据包

数据包中的sql语句存在>和$，疑似使用了表达式或者模板

为了判断是否真的使用了表达式或者模板，使用${1+1}，回显了2，那么就可以确定了。

接着我使用了ognl表达式注入payload，看看能否执行命令，数据包报错显示freemarker，那么就说明使用的是freemarker模板

模板注入执行tasklist命令

漏洞2：jdbc反序列化

又是数据库连接点

vps开启jdbc反序列化服务，host填入vps的ip与端口，user处写入要打的链和执行的命令，classname处写入驱动，url处写入ip端口与payload（详细打法可以看我之前写的《一次JDBC反序列化漏洞》）

vps收到请求，但是还没确定命令是否执行成功

通过刚才的模板注入（另一处也存在模板注入点）查看进程可知刚才的powershell命令执行成功

漏洞3：fastjson反序列化

在导入服务的功能中我上传了一个图片，数据包中报错回显了fastjson，看来是使用了fastjson做了json转换

通过版本报错链可知fastjson版本为1.2.60（详细打法可看我之前发的《SRC挖掘 | fastjson反序列化漏洞实战》）

通过刚才的jdbc反序列化可知使用了mysql，那么就可以直接打这条链子了，发送payload，执行calc命令

vps收到请求

通过模板注入查看进程，可知calc命令执行成功

原文始发于微信公众号（有恒安全）：渗透测试 | 某系统三连shell

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

Clash Verge rev提权与命令执行分析