用户
搜索

该用户从未签到

i春秋-见习白帽

sina@whoamiecho

Rank: 3Rank: 3

5

主题

34

帖子

183

魔法币
收听
2
粉丝
9
注册时间
2016-4-13
发表于 2016-11-30 11:41:36 38242133
本帖最后由 whoamiecho 于 2016-12-23 02:09 编辑

本文参加i春秋社区原创文章奖励计划,未经许可禁止转载!

一.  过程


1.1、事情起因:暴力破解

测试给了个普通用户账号,可以登录。APP一来就要登陆,遇到这种情况只能先抓个登陆的包看看是个什么情况,登陆时抓取数据包如下:
1.png
发现验证码是本地验证的,并没有发送到服务端去。那就好办了,二话不说先爆破试试。
2.png
        爆破了半天也没爆破处能登陆的用户。过了一会儿发现,用户名带入引号时居然报错了。这样的情况要么是被拦截了,要么存在注入。不巧是后者。看来以后爆破的字典里面都要带入几个常用的fuzzing语句啊。
        登陆点注入先试试万能密码。结果没能登陆,只能走注入拿密码的道路了。先来看看注入点:
GET /AppBusi/login.jsp?jsoncallback=jQuery16407473715976811945_1478502187123&loginCode=admin'&loginPass=111111&pf=1&_=1478502216927 HTTP/1.1
Host: *.*.*.*:*

在loginCode字段后面加上单引号测试,发现报错。
1111.png


使用sqlmap对loginCode参数进行注入测试:
sqlmap.py -r C:\Users\echo\AppData\Local\Temp\\1478502827550.req –dbs
4.png
得到众多数据库:
5.png
找当前数据库的管理员表,当我看到1762个表的时候腿都软了。我还是假装找了下,没找到。机制的管理员将好几个站点的数据库都放在了这里面,什么OA系统、BBS啊。香菇!
6.png
不能这样干坐着。先用普通测试用户登录进去看看是个什么情况。一顿狂点抓包测试。服务端做的真的很烂,一堆SQL注入,XSS。其他的就不多说了。
7.png


1.2、重点来了-任意文件下载漏洞

为了看看app都有什么功能,开启fidder一顿狂点,抓了所有的包,一个一个看看,当看到下面这个包时,我嘴角微微上扬了45度。
http://*.*.*.*:*/AppBusi/Flow/sat_down.jsp?filePath=E:/apache-tomcat-6.0.41/webapps/jxzmcc/files/satflow27/9d102ebd32dca338053c49ea1d015b37.txt
明显的任意文件下载漏洞,还带入了绝对路径。
8.png
构造链接下载网站源码:
http://*.*.*.*:*/AppBusi/Flow/sat_down.jsp?filePath=E:/apache-tomcat-6.0.41/webapps/jxzmcc/index.jsp
9.png
提示是个后台管理。访问http://*.*.*.*:*/jxzmcc/index.jsp发现不能能访问。猜测这么几个情况:
1:访问端口不对。
2:网站只能APP访问。
3:在内网。


先用nmap扫一下端口看看有些什么对外的服务:nmap -vv -p 1-65535 *.*.*.*
10.png
发现唯一能访问的8080端口还是代理转发出来的。证明了网站在内网。现在只能通过下载文件来找其他的东西了。最先想到的就是下载web.xml,server.xml、tomcat-users.xml。但是WTF,管理员真的是太懒了,居然都没配置。
为了证明站点在内网,想到可以下载http访问日志。于是翻看了下本地tomcat日志存储的格式:
11.png
构造好文件名:localhost_access_log.2016-10-31.txt。访问:
http://*.*.*.*:*/AppBusi/Flow/sat_down.jsp?filePath=E:/apache-tomcat-6.0.41/logs/localhost_access_log.2016-10-31.txt。
12.png
不出预料,访问均来自内网。又下载了几个日志,都是一样的情况。看来这个站是拿不到了,本以为到这里就要到头了。


1.3、转机出现


突然想到前面APP报错时候的tomcat版本不是6.0.41,而这里下载的站点的版本是6.0.41。说明这个站根本不在APP接口站的目录下。
通过访问不存在的链接,http://*.*.*.*:*/AppBusi/login.jsp121212报错显示出中间件版本信息。Tomcat/7.0.54
13.png
        如果两个tomcat的安装目录相同的话,E:/apache-tomcat-7.0.54/目录应该是存在的,抱着试一试的态度构造了另一个下载地址:
http://*.*.*.*:*/AppBusi/Flow/sat_down.jsp?filePath=E:/apache-tomcat-7.0.54/logs/localhost_access_log.2016-10-31.txt
奇迹发生了。我都佩服我自己,貌似看穿了管理员的套路。在日志中发现了三个东西:
一个对外的管理后台:http://*.*.*.*:*/jxc/login.jsp
14.png
当前APP接口:http://*.*.*.*:*//AppBusi/login.jsp
另一个APP接口:http://*.*.*.*:*//JXZXAPP/xtgl/login.jsp
15.png

1.4、意外收获-后台登陆密码找回漏洞
如果能选择APP或者WEB我会优先试试WEB站。是管理后台没有验证码,又尝试了爆破,每一个请求都302跳转,爆破失效。
16.png
17.png
运气真是不行。也没有注入什么的。身残志坚的我没有放过任何一个链接,点击了 “获取密码”。
18.png
网站提示未查到admin用户的手机号。
19.png
通过本地元素调试填入自己的手机号,发包。
20.png
抓包:
21.png

腻害了我的哥,居然在在第二个数据包中看到密码:s3M1Kz
22.png
通过动态密码成功登陆了后台。
23.png
但是并没有什么luan用。后台什么功能都没有。Getshll失败。


1.5、最后的挣扎


在心有不甘的情况下,找了找另一个APP接口的情况。首先想到找出这是个什么APP,看看能不能有所突破,结果发现这个APP和测试的APP功能基本相同。看来是没戏了。在日志中还找到了一个未授权访问的上传点:
24.png
访问:http://*.*.*.*:*//JXZXAPP/gdsl/upload1.jsp
25.png
不论上传什么都谈框,上传失败。路都死完了。SQL注入也没能找到后台登陆地址,相比也是徒劳。Oracle时DBA权限,但是却没能直接GETSHELL。


二.  来个小姐(结)


想说的一下几点:

1:jsp的任意文件下载不像php那样包含文件。要想利用目前比较好的方法就是下载中间件配置文件,日志文件。liunx的话可以尝试下载/ect/passwd等等。
2:信息泄露还是有用的从找到Tomcat/7.0.54版本确定目录存在,从而扩大了攻击面。
3:找回密码,暴力破解有时候还是能有意外收获。





3.png

本帖被以下淘专辑推荐:

此间少年
发表于 2016-12-6 14:05:04
文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!

奖金点评
100思路不错 ,逻辑清晰,语言幽默有趣,  在几个功能点做的判断很敏捷,期待更加精彩的文章!

Hacking the earth.My Blog:https://isbase.cc
使用道具 举报 回复
发表于 2017-9-18 16:39:35
xsuperman 发表于 2017-9-15 02:03
sqlmap.py -r C:%users\echo\AppData\Local\Temp\\1478502827550.req 这个req文件是什么文件
如何以这种形 ...

这其实就是个缓存文件,用的是burp插件自动生成的,原理和你自己在本地存一个txt文件,用-r参数加载注入是一样的。直接-p指定参数就行了,不用管是get还是post
此间少年
使用道具 举报 回复
发表于 2016-12-7 18:17:14
zusheng 发表于 2016-12-6 06:05
文章奖励介绍及评分标准:http://bbs.ichunqiu.com/thread-7869-1-1.html,如有疑问请加QQ:286894635!

评分细节怎么没有了
此间少年
使用道具 举报 回复
sqlmap.py -r C:\Users\echo\AppData\Local\Temp\\1478502827550.req 这个req文件是什么文件
如何以这种形式对get方法的参数进行注入
使用道具 举报 回复
发表于 2016-12-1 11:37:33
衣其 发表于 2016-11-30 09:36
真是学习了,谢谢楼主,写得很好,思路很清晰,感觉很有收获

这才是个开始,哈哈
此间少年
使用道具 举报 回复
发表于 2016-11-30 23:31:34
小说写的不错,核桃也很好吃,变形金刚外形很棒,坏蛋跟他的小姨子跑了,猴子追着鸽子去了
你懂得越多,懂你的人越少!
使用道具 举报 回复
发表于 2016-11-30 15:08:31
ohlinge 发表于 2016-11-30 04:37
文章幽默风趣,却又不失技术含量,好文,收藏了。

下次写小说
此间少年
使用道具 举报 回复
发表于 2016-12-1 11:38:52

其实我最擅长的是ppt,哈哈
此间少年
使用道具 举报 回复
发表于 2016-11-30 12:28:42
学习了!好文章!
使用道具 举报 回复
发表于 2016-11-30 12:37:22
文章幽默风趣,却又不失技术含量,好文,收藏了。
欢迎访问我的博客 https://www.ohlinge.cn
使用道具 举报 回复
发表于 2016-11-30 13:26:37
溜溜溜真的溜
使用道具 举报 回复
发表于 2016-11-30 15:09:36
w_uai 发表于 2016-11-30 04:28
学习了!好文章!

学到了什么
此间少年
使用道具 举报 回复
发表于 2016-11-30 15:09:52

我的滑板鞋~~~~
此间少年
使用道具 举报 回复
发表于 2016-11-30 15:11:02

学到了猥琐的思路!
使用道具 举报 回复
发表于 2016-11-30 15:48:03
有趣有趣,看得蠢蠢欲动
使用道具 举报 回复
发表于 2016-11-30 16:19:51
使用道具 举报 回复
发表于 2016-11-30 16:56:07
学习了。
使用道具 举报 回复
发表于 2016-11-30 17:36:06
真是学习了,谢谢楼主,写得很好,思路很清晰,感觉很有收获
使用道具 举报 回复
发表于 2016-11-30 19:24:59
厉害了  word哥
使用道具 举报 回复
发表于 2016-11-30 21:53:42
猥琐流路线~
使用道具 举报 回复
发表于 2016-11-30 22:44:55
jsp...............
不说话不代表默认
使用道具 举报 回复
123下一页
发新帖
您需要登录后才可以回帖 登录 | 立即注册