"意外"的shell
2020-06-18 10:33:49 Author: forum.90sec.com(查看原文) 阅读量:513 收藏

本次getshell算是一个"意外",内容较为基础,也是第一次投稿,文笔较差.中间有些图因为第一次打码露点所以又重新截图可能有些对不上文件名之类的,师傅们轻喷.

原目标站点: www.xxx.com, 因为一直没有搞下来,所以利用特征,通过某fa找到了现在这个站点
现目标站点:47.xx.xxx.0

一点信息收集:{

指纹:jQuery,Bootstrap,Java,光年(Light Year Admin),Nginx,Linux,某里云vps

端口:22,80(error),2399(mysql),8081(后台)

}

通过之前扫描端口知道后台为8081端口,遂打开之.

image

遇到这种后台登录第一反应尝试弱口令,然后就是一手admin admin,没想到直接就进去了,nice(暗自窃喜).

image

后台功能不太多,直接找上传点,发现在表情图片这里存在上传点.

image

图片正常上传,jsp/jspx提示文件类型不正确.

image

猜测只是前端验证了后缀,于是抓包改后缀测试,内容先随便上传个1,go之后发现跟猜想的一样.

image

然后上传webshell,也是成功,到这以为要结束了,没想到才开始,连接shell,发现不对劲.

image

最开始以为被落地杀了,毕竟某里云的vps被落地杀也不是一次两次了,于是访问看看,发现了端倪.这里之前上传是不解析的,由于这篇文章是第二次复现时候写的,管理员可能做了限制,现在不管上传什么都是404.

image
image

上传点那儿纠结了挺久的,但不解析和某里云vps让我不得不去测试其他的地方.

辗转来到了下载的地方,之前也有过利用下载功能来任意文件读取,尝试乎.使用file协议成功读取根目录,这里有个小插曲,就是点击第一个图片下载时,读取不到文件,开始以为不存在任意文件读取,浪费了些时间.

image

读取mysql的密码文件,解出明文(123.com).

image

兴冲冲的去连接,但现实很残酷,远程连接不上.

image

到这里陷入僵局了,文件上传不上,mysql连不上,目录也没有扫出有用的,js也没有发现接口泄露等.

无奈之际,只能将情况描述给了大佬,不一会儿,大佬提示存在redis.

这里其实有一点疑惑,端口并没有扫到6379.不过根据大佬的提示,读取到了redis的配置文件.

image

既然有了redis的密码,那就可以干些正(wei)义(suo)的事情了.

连接redis,设置定时任务,自己vps设置好监听,等待一会儿,shell到手.

image
image

最后删除掉/var/spool/cron/root 文件,溜~

虽然拿到了现目标站点的shell,但并不适用于原目标站点,菜鸡落泪.

总结:本次getshell虽不算艰难险阻但也并非一帆风顺,中间陷入僵局,好在有大佬们的指点成功拿到shell,虽然没有拿下原目标站点,但是这个站点也让我学到了东西,有些收获.最后就是希望能加入90这个大家庭跟师傅们多多学习~


文章来源: https://forum.90sec.com/t/topic/1129/1
如有侵权请联系:admin#unsafe.sh