文章描述了一个安全渗透测试过程,通过分析8080端口的上传功能,发现只允许上传jpg文件。测试LFI但未发现RFI。从Maven配置文件中找到项目依赖及可能的漏洞版本。利用SpringBoot的路由表达式执行命令生成文件,并通过pspy验证存在定时任务。最终目标是构建一个Ansibleplaybook来执行shell命令以获取root权限。
信息收集
- 22
- 8080
8080端口如下。
主界面有一个上传图片的功能。
简单测试后发现对上传文件后缀名应该有过滤,只允许jpg后缀名文件上传。将一个内容为”test“的txt文件修改后缀为jpg后上传会出现错误。
验证一下是否存在LFI。
验证一下是否存在RFI,经过验证应该不存在RFI。
在maven的配置文件…/…/…/pom.xml里收集到一些项目和项目版本。
- spring-boot-starter-parent 2.6.5
- javax.activation 1.2.0
- spring-cloud-function-web 3.2.2
- bootstrap 5.1.3
- spring-boot-starter-thymeleaf
- spring-boot-starter-web
另外在frank目录下的.m2文件里面找到了phil的账号密码。
去看看用户目录里面是否有.ssh文件,虽然phil和frank目录下都有.ssh文件,但是应该是其他玩家留下的,ssh无法登录。
还记得上面收集的maven的项目文件内容么,一个一个去搜索看看是不是漏洞版本。
curl -i -s -k -X $‘POST’ -H $‘Host: 192.168.1.2:8080’ -H $‘spring.cloud.function.routing-expression:T(java.lang.Runtime).getRuntime().exec(“touch /tmp/test”)’ --data-binary $‘exploit_poc’ $‘http://192.168.1.2:8080/functionRouter’
注意exec执行的命令touch /tmp/test,记得去tmp看看有没有。
生成了mmiku文件。
准备脚本。
上传脚本。
开机
在/opt/发现了一些有趣的东西,一个yml的文件,初步怀疑有时间任务。
pspy验证了此想法。
root
接下来就是要弄一个ansible playbook代码来执行shell命令。
在官网看到这个模块ansible.builtin.command。
照着已有的yml文件修改一下即可。
扫一扫
3080
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
