0x00 前言

在近段時(shí)間的實(shí)戰(zhàn)中，遇到一個(gè)使用多漏洞組合方式獲取目標(biāo)系統(tǒng)權(quán)限的環(huán)境。通過(guò)sql注入，賬號(hào)密碼爆破，任意文件下載，文件上傳等多個(gè)漏洞獲取webshell。

0x01 web打點(diǎn)

給到目標(biāo)后，還是先進(jìn)行信息收集，隊(duì)友發(fā)現(xiàn)目標(biāo)使用了jeeplus框架，并且發(fā)現(xiàn)該系統(tǒng)存在通用漏洞sql注入漏洞，該漏洞點(diǎn)存在于登錄界面的mobile參數(shù)。

注入為mysql數(shù)據(jù)庫(kù)，并且是dbs權(quán)限，通過(guò)注入點(diǎn)的報(bào)錯(cuò)信息獲取絕對(duì)路徑，嘗試使用os-shell獲取權(quán)限，未成功。

在注入無(wú)果后，發(fā)現(xiàn)了系統(tǒng)采用了shiro框架，使用shiro工具進(jìn)行驗(yàn)證，同樣未成功。

注入和命令執(zhí)行都噶了，還是要登錄后臺(tái)找找上傳進(jìn)行嘗試，通過(guò)注入跑了下賬號(hào)信息，獲取了賬號(hào)密碼信息。后發(fā)現(xiàn)jeeplus的密碼為魔改的加密算法不可逆，只能獲得賬戶(hù)名，又噶住了。

想起了網(wǎng)上大佬jeeplus的漏洞復(fù)現(xiàn)文章，發(fā)現(xiàn)jeeplus使用了2個(gè)熟悉的組件druid和fastjson。看了大佬的文章知道了druid可以監(jiān)控DB池連接和sql執(zhí)行情況。訪問(wèn)/druid/目錄即可看到控制臺(tái)信息，并且控制臺(tái)可以看到session信息,并且通過(guò)session信息可登錄系統(tǒng)，趕緊去嘗試了一下。"嗯，確實(shí)存在控制臺(tái)，但我的session信息呢？"

又白給了一波后，隊(duì)友還是準(zhǔn)備嘗試最穩(wěn)妥的方式通過(guò)注入獲取的賬號(hào)，鎖定密碼，爆破用戶(hù)名，嘗試是否可以進(jìn)入系統(tǒng)。

運(yùn)氣很好先鎖定的123456就爆破出了賬號(hào)，感覺(jué)shell已經(jīng)在招手了。登錄系統(tǒng)直接訪問(wèn)/a/sys/file尋找通用文件上傳漏洞，發(fā)現(xiàn)該漏洞點(diǎn)已經(jīng)404了。

尋找系統(tǒng)其他上傳點(diǎn)，發(fā)現(xiàn)系統(tǒng)上傳頭像處和公告信息處存在上傳點(diǎn)，進(jìn)行測(cè)試后發(fā)現(xiàn)系統(tǒng)沒(méi)有對(duì)后綴進(jìn)行過(guò)濾，但是文件上傳后只能進(jìn)行下載，不進(jìn)行解析。

就在要放棄的時(shí)候突然發(fā)現(xiàn)在上傳數(shù)據(jù)包中，存在一個(gè)路徑參數(shù)。

在刪除原先的路徑后依舊上傳了文件，并且原先的路徑去除了刪除的路徑。

嘗試使用../看是否能讓文件存在上一級(jí)目錄中，發(fā)現(xiàn)文件確實(shí)進(jìn)行上傳，并且存放在了上一級(jí)目錄。這個(gè)目錄跨越又讓人看到了希望。既然目前的目錄直接下載文件不進(jìn)行解析，那只要上傳到web目錄下說(shuō)不定就可以進(jìn)行解析。從文件上傳處獲取的路徑和注入爆出的web目錄不是一個(gè)目錄。嘗試將文件上傳到web目錄下。

系統(tǒng)在/a/sys/file/download/處存在任意文件下載漏洞，我們通過(guò)此漏洞判斷文件是否上傳成功。

根據(jù)注入路徑進(jìn)行上傳，成功目錄跨越進(jìn)行webshell上傳，獲取目標(biāo)系統(tǒng)目標(biāo)系統(tǒng)權(quán)限。