web滲透實例之克市教育局web滲透—市OA系統

最新 03-06

本次滲透是在取得教育局網路第三方廠商即時訊立維公司授權許可之後進行的滲透測試。

漏洞報告也於第一時間交給教育局及第三方廠商，並且協助廠商進行了修補，至文章發布時，文中的漏洞已經得到修復。本文章選取了漏洞報告中的一部分進行公開，完整漏洞報告模板於社團群內部。

免責申明：請使用者注意使用環境並遵守國家相關法律法規！

本文僅供學習與交流，請勿用本文提到的技術方法進行破壞行為，由於使用不當造成的後果十三年不承擔任何責任！

一.信息搜集：

從掃描結果顯示了一些可遠程利用的漏洞，對重點需要滲透測試的WEB主機等待掃描等信息收集工作完成後實施滲透。

掃描時得出以下埠服務信息：

http://pj.klmyedu.cn 開放的埠9090 作為OA平台老師登錄口http://pj.klmyedu.cn:9090/klmy_pingjia/login.action

發現教育局網路為山石網科防火牆或網路設備的遠程管理服務埠，建議用戶使用IP地址限制功能來進行遠程管理。

繼續進行埠掃描和測試，發現一些問題並做部分測試。

二.漏洞掃描

注入型漏洞，我們通過遠程測試後發現http://pj.klmyedu.cn:9090/klmy_pingjia/login.action 登陸口存在SQL注入的漏洞，我們可以通過sqlmap跑出伺服器上面web資料庫信息，如圖：

web application technology: JSP

back-end DBMS: Microsoft SQL Server 2005

因為這個登錄口是為教師登錄的又臨近期末了老師都需要用這個平台伺服器性能貌似承載不了SQL注入。

為了減少對用戶應用的影響，在驗證完SQL注入漏洞後，我停止了進一步的滲透測試行為。

2. Apache Tomcat examples directory vulnerabilities（示例文件）

Apache Tomcat默認安裝包含」/examples」目錄，裡面存著眾多的樣例，其中session樣例(/examples/servlets /servlet/SessionExample)允許用戶對session進行操縱。因為session是全局通用的，所以用戶可以通過操縱 session獲取管理員許可權。

漏洞地址

http://120.77.102.161:8080/examples/servlets/servlet/SessionExample

3.Apache Struts2 Multi-Remote Code Execution（簡稱st2漏洞）

在http://pj.klmyedu.cn:9090/klmy_pingjia/login.action 登陸口存在st2漏洞

可獲取信息完整清晰：

網站物理路徑： D:vcmpingjia omcat5webappsklmy_pingjia

java.home: D:vcmpingjiajdk1.5.0_18jre

java.version: 1.5.0_18

os.name: Windows 2003

os.arch: x86

os.version: 5.2

user.name: SYSTEM

user.home: C:WINDOWSsystem32configsystemprofile

user.dir: C:WINDOWSsystem32

java.library.path: D:vcmpingjia omcat5in;.;C:WINDOWSsystem32;C:WINDOWS;.;C:Program FilesJavajdk1.5.0_04in;C:WINDOWSsystem32;C:WINDOWS;C:WINDOWSSystem32Wbem;

hibernate信息等等省略後半部分過長。可以看到敏感信息 1.system許可權 2.網站絕對路徑 3.網站伺服器系統信息等等包括java環境信息。

通過system許可權我們直接執行遠程命令查看內網拓撲添加賬戶等等。

在添加賬戶時發現被攔截查看進程發現有1.360主動防禦 2.安全狗 3. 瑞星殺毒這多個殺毒軟體和安全軟體（佩服佩服能在一個伺服器裝這麼多伺服器也是夠安全）

這裡主要講下這個st2漏洞利用工具這款工具好處在於有列出了伺服器目錄的功能當時我一開始想直接在登陸口目錄傳jsp木馬拿shell的時候連接的時候總會跳轉到登陸口 Google了下解決辦法是傳jspx 但是試了都不行。

有了這個工具直接找到網站root根目錄把shell傳到根目錄就不會跳轉可以直接連接就拿下了。

此工具下載地址www.klmyssn.club/exploit/st2.jar