这里采用Potato提权
但生活总喜欢在为我关了一扇窗后,再用门狠狠的夹我的脑子
提权一直失败,换用了其它的方式也不行
后面才知道,原来SweetPotato源码中的默认路径与我的环境不符,要重新修改后再编译
编译完,再重新执行
成功提权!
然后就是源码打包,下载
(PS:用哥斯拉默认的源码打包,下载下来后文件会报错,而且缺失很多,也不知道为什么,但权限提升后用7z打包就好了,很奇怪。如果有知道的表哥,在下方留个联系方式)
接下来就是java源码审计了
大体目录是这样的。老规矩,先翻看一下配置文件,看一下它用了哪些框架
看样子是使用了Hibernate+Struts2+Spring框架
用jd-gui快速反编译class文件,获取java源码
将Hibernate和Struts2框架的相关配置文件、action对象、filter大体熟悉以后,就开始审计了
这里不得不吐槽一句,这个开发是真的懒,部分源码还留着与该站点相关的注释
既然是为了证明危害,那么基本是以getshell-sql-信息泄露为主
全文查找文件上传的地方
在搜索处发现了一处可以upload的地点
(此处图片找不到了,假装我是图片1)
查看对应java文件源码,发现无任何过滤
去掉注释,上传,不过不知道为什么会出现这种状况,查询了很多资料也没弄明白
直接构造接口上传,发现会有拦截,但本地源码审计无拦截,估计是某站点二次开发了
第一处水洞:账号密码可爆破
顺便看了一下oa系统
成熟的框架,也导致了sql注入和越权不存在
但是逻辑漏洞仍然存在,修改密码处未限制,能批量爆破账号改密码
后面因不可抗力,A也叫停了我,遂暂停了测试
二战
几个星期后的某天,A又提到了某站点,从它口中得知,该站点翻新了
那我上次的源码也约等于白费了。。。
果不其然,A又找到了我,我也是很《轻松》且《愉快》的接下了任务
第一处漏洞:弱口令
我想了想,既然翻新了,那多多少少会加点东西
更新后发现了部分文章页面泄露了某editor的组件信息
抱着尝试的心态,来到了登录页面
结果发现,admin/admin一发入魂
第二处漏洞:部分源码+密钥泄露
四处翻看目录,偶然间发现一个压缩包
看了看大小,感觉像是源码,下载下来了
果然,泄露了很多secret,有关aliyun、钉钉、wechat、云盘等等
其中部分还与其它公司资产相关联
oss也能成功接管,也涉及了很多的敏感信息(不敢多说,保命要紧)
但还是高兴早了,class相关文件没打包下来。。意味着只能看jsp的源码,也就只有对找接口来说,会方便一些
通过配置文件查看,发现学校改成SSM框架,晕,别想与sql注入相遇了
