记一次对某客户端的安全测试

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。 请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

文章来源：先知社区（russell06）

原文地址：https://xz.aliyun.com/t/10253

0x01 起因

此次接到的项目是对某客户端进行安全测试。之前的工作内容除了偶尔测测 App 之外，大部分的测试目标还是以 B/S 架构的 Web 为主，这是第一次对 C/S 架构的客户端进行测试，所以也是两眼一抹黑，只能先按照测 Web 的常规思路来了。

0x02 抓包

首先查看目标客户端是否存在代理配置功能（大多数没有），可以看到只有个简单的登录功能，并无代理配置功能。

Proxifier+BurpSuite：

查看BurpSuite中配置的代理地址及端口

在Proxifier中添加代理服务器（ip、port为BurpSuite中配置的代理地址及端口）

配置好后，进行检查，测试与BurpSuite的连通性（BurpSuite 中有流量即为成功连通）

在Proxifier中添加代理规则

BurpSuite成功拦截到客户端的登录请求

0x03 数据包分析

成功拦截到数据包之后，便打算对其进行分析，结果一看就绝望了，请求包跟响应包均被加密

尝试Web访问：

之前测App时遇到过手机端流量被加密，但PC端未加密的情况，遂复制请求链接尝试 Web访问，并未获取到有效信息

由于该客户端内相关功能的请求参数均以POST方式传输，流量均被加密，所以暂时放弃，转变思路打算从服务器入手

0x04 柳暗花明

对目标服务器进行端口扫描，发现开放的端口还挺多，9043、9060分别为 WebSphere默认的管理控制台安全端口、管理控制台端口

默认登录地址为/ibm/console，此处用默认的用户标识admin成功登录

一波三折：

按理说成功进入WebSphere管理控制台，拿到shell只是顺理成章的事情，但是事情远没有我想象中的那么容易，首先使用之前打好的war包进行上传

选择war包，填好上下文之后报错

关于这个报错，我上网搜索了好久最终汇总了几种原因以及解决方案，分别是重启WebSphere、war包中包含的文件内容格式有误、打war包时所用的jdk与目标 WebSphere的jdk版本不一致、修改一些WebSphere的配置文件。

将war包中的jsp文件内容修改为打印字符串（无害内容），重新打包后上传，依旧报错

更换jdk版本：

从前面抓取到的数据包中可知目标使用的jdk版本为1.5.0_21，遂下载对应版本的jdk使用jar命令对无害jsp文件打war包后上传，依旧报错

Myeclipse构造war文件：

通过此前的多次尝试均未解决这个报错，于是卡在这个步骤上好久，最后通过查阅资料得知，WebSphere 6.x版本默认支持的Web应用是2.3（web.xml配置的web-app_2_3.dtd），所以选择使用Myeclipse来生成war文件

• Myeclipse新建web项目

• 将jsp文件放至WebRoot目录下

• 导出项目为war文件

生成的war文件目录结构如下

选择生成的war文件并填写上下文进行上传

步骤1-4无需操作，点击下一步

步骤5点击完成后，记得选择保存到主配置

安装完成后应用程序状态为已停止，点击启动即可成功启动

0x05 坑点

jsp文件需使用Godzilla生成的webshell，刚开始使用Behinder v3.11生成的马，虽然可以上传成功，但是会提示页面存在，无法获取密钥，猜测可能与目标jdk版本过低有关，具体原因不明。

---

关注公众号回复“9527”可免费获取一套HTB靶场文档和视频，“1120”安全参考杂志电子版，“1208”个人常用高效爆破字典，“0221”2020年酒仙桥文章打包，“2191”9月1日潇湘信安文章打包。

 还在等什么？赶紧点击下方名片关注学习吧！

---

推 荐 阅 读

---

欢 迎 私 下 骚 扰

本文始发于微信公众号（潇湘信安）：记一次对某客户端的安全测试