0x00 前言

在近段時間的實戰(zhàn)中，遇到一個使用多漏洞組合方式獲取目標系統(tǒng)權(quán)限的環(huán)境。通過sql注入，賬號密碼爆破，任意文件下載，文件上傳等多個漏洞獲取webshell。

0x01 web打點

給到目標后，還是先進行信息收集，隊友發(fā)現(xiàn)目標使用了jeeplus框架，并且發(fā)現(xiàn)該系統(tǒng)存在通用漏洞sql注入漏洞，該漏洞點存在于登錄界面的mobile參數(shù)。

注入為mysql數(shù)據(jù)庫，并且是dbs權(quán)限，通過注入點的報錯信息獲取絕對路徑，嘗試使用os-shell獲取權(quán)限，未成功。

在注入無果后，發(fā)現(xiàn)了系統(tǒng)采用了shiro框架，使用shiro工具進行驗證，同樣未成功。

注入和命令執(zhí)行都噶了，還是要登錄后臺找找上傳進行嘗試，通過注入跑了下賬號信息，獲取了賬號密碼信息。后發(fā)現(xiàn)jeeplus的密碼為魔改的加密算法不可逆，只能獲得賬戶名，又噶住了。

想起了網(wǎng)上大佬jeeplus的漏洞復(fù)現(xiàn)文章，發(fā)現(xiàn)jeeplus使用了2個熟悉的組件druid和fastjson?？戳舜罄械奈恼轮懒薲ruid可以監(jiān)控DB池連接和sql執(zhí)行情況。訪問/druid/目錄即可看到控制臺信息，并且控制臺可以看到session信息,并且通過session信息可登錄系統(tǒng)，趕緊去嘗試了一下。"嗯，確實存在控制臺，但我的session信息呢？"

又白給了一波后，隊友還是準備嘗試最穩(wěn)妥的方式通過注入獲取的賬號，鎖定密碼，爆破用戶名，嘗試是否可以進入系統(tǒng)。

運氣很好先鎖定的123456就爆破出了賬號，感覺shell已經(jīng)在招手了。登錄系統(tǒng)直接訪問/a/sys/file尋找通用文件上傳漏洞，發(fā)現(xiàn)該漏洞點已經(jīng)404了。

尋找系統(tǒng)其他上傳點，發(fā)現(xiàn)系統(tǒng)上傳頭像處和公告信息處存在上傳點，進行測試后發(fā)現(xiàn)系統(tǒng)沒有對后綴進行過濾，但是文件上傳后只能進行下載，不進行解析。

就在要放棄的時候突然發(fā)現(xiàn)在上傳數(shù)據(jù)包中，存在一個路徑參數(shù)。

在刪除原先的路徑后依舊上傳了文件，并且原先的路徑去除了刪除的路徑。

嘗試使用../看是否能讓文件存在上一級目錄中，發(fā)現(xiàn)文件確實進行上傳，并且存放在了上一級目錄。這個目錄跨越又讓人看到了希望。既然目前的目錄直接下載文件不進行解析，那只要上傳到web目錄下說不定就可以進行解析。從文件上傳處獲取的路徑和注入爆出的web目錄不是一個目錄。嘗試將文件上傳到web目錄下。

系統(tǒng)在/a/sys/file/download/處存在任意文件下載漏洞，我們通過此漏洞判斷文件是否上傳成功。

根據(jù)注入路徑進行上傳，成功目錄跨越進行webshell上傳，獲取目標系統(tǒng)目標系統(tǒng)權(quán)限。