漏洞ufgovbank.class
接口,可结合XXE
+AdminService
实现未授权RCE。
这里首先判断传入的QYJM的值是否为1,如果是则reqData传入的值为Des加密后(由于加密后未打成功目前先跳过加密),接着当传入的QYNC参数值为adaptertest马上判断isTrans,从这段静态代码块可以看出isTrans是false从而进到else条件中实例化EbankReturnTest
类调用AdapterTest
方法并传入reqData和QYNC的值。
后续就很明显了,判断是否加密未加密就一路调用下去最后通过DocumentHelper.parseText(ReqData)
造成XXE漏洞。
访问http://xxx.xxx.xxx.xxx:8080/services接口
注意:成功部署Service目前需要解决两个问题 端口和路径
1、要使用XXE完成SSRF就要找到对应端口,一般情况下映射到外网开放的WEB服务端口即跟内网端口一样,实在不行就端口1-65000全跑一遍。
2、在这里部署的Service生成文件路径要用绝对路径,相当路径生成是生成在C:\Windows\System32目录下,但是绝对路径一般不固定所以下面提供一个寻找绝对路径方法。
访问u8qx/pubDownTemplate.jsp
爆出绝对路径。
如果打成果了这里部署了一个名为OpenTaske的service(有些返回包有点异常,不用管直接看services下有没有生成OpenTaske名字就对了)。
写入哥斯拉webshell
Apache Axis1 与 Axis2 WebService 的漏洞利用总结