一个变态的7验证4语言OA系统 - 网站安全 - 自学

by:灰太狼真男人

先来个地址

http://extsjz.my012测试数据:8008 先讲解下什么事传说中的7验证登陆方式首先我有这个公司ERP系统的账号密码，但是在这里仅有账号密码远远不够。因为服务器要验证客户端的机器码，只有授权的机子才可以登陆 GET /servlet/extsjz.login.sjzclient?companyid=110&loginname=49/&password=1&code= 088CFBE9AA0C0468312B8382C2FD115CFF2D8346A1EE015C&if_zj= %200&cpuId=BFEBFBFF&netCardId=00:FF:2A:3A:4B:5B:00:00&drvId= %20%20%20%20%20%20%20%20%20%20%20%209VM79H5A$ 大家注意到了里面的参数。。我解释下 companyid 公司的ID 比如北京010 重启119 loginname &password 不说了 cpuId 客户端CPUID netCardId 网卡MAC drvId 物理硬盘ID 中间还有个 CODE code=加密（cpuId+netcardid+dryid+时间验证）也就是说即使知道了密码也让你登陆不了下面分析下所谓的CODE 一个可以通过验证的CODE 5B95423888EC0468798E8023A2ED114C90FD0CF86CEE015C 5B95423888EC0***798E8023A2ED***C90FD0CF86CE***** 088CFBE9AA0C0 468 312B8382C2FD 115 CFF2D8346A1E E015C 这个是我机子生成的CODE 其中红色部分是时间验证部分检测系统时间加密后插入到CODE当中可能是开发者为了防止暴力破解但是聪明的我想出了办法。。因为加密后的时间这三个位置是不变的通过抓包把我本机错误的code复制出来只提取正确的时间部分插入到正确的但是时间错误的 code中5B95423888EC0***798E8023A2ED***C90FD0CF86CE***** 例如输入正确账号密码会显示未授权，因为服务器上没有我这台机子硬件信息的记录但是当我提交正确的电脑硬件配置信息会出现因为CODE中的时间部分与服务器不同意思是当前时间12点服务器肯定也是12点但是本机11点的CODE无法登陆12点替换正确时间后成功登陆这时候再访问 http://extsjz.my012测试数据:8008/servlet/extsjz.login.main 就会出现登陆界面因为我搞了很久没搞上就找臭鱼大牛帮忙让他帮忙分析了段错误信息虽然下面的注入语句我很熟悉。但是因为上面一大堆的JAVA 我也有点乱不敢肯定说是MYSQL数据库。。臭鱼肯定的告诉我是MYSQL 这时候我还凌乱因为头部没有什么.asp .php .jsp之类的后面大家就知道了很蛋疼因为这个账户只是个员工普通权限我和臭鱼的目的是拿到webshll或者admin的权限我和臭鱼开始找上传的地。分析上传路径没想到我直接用错误信息给直接爆出来了网站结构知道了臭鱼直接通过上传的URL 构造了一个可以上传任意文件的地址首先上传了个PHP 无法解析猜测是JSP 上传JSP http://extsjz.my012测试数据:8008//cominfo/110/knowledge_file/1325776317692/404.jsp 还是无法解析。这时候晕了。。难道.net。。得知阿帕奇。。。为啥解析不了呢问嫖姐开始分工臭鱼开始本地构造上传上传到可解析的目录我帮他找目录直接开个PK 扫描出来顿时愣了。。。这他妈。目测servlet可以解析，打开扫描器就是一栋狂扫。。什么也没出来。。顺手百度搜了下servlet 结果。。。 Servlet是一种服务器端的Java应用程序，具有独立于平台和协议的特性,可以生成动态的Web页面。它担当客户请求（Web浏览器或其他HTTP客户程序）与服务器响应（HTTP服务器上的数据库或应用程序）的中间层。 Servlet是位于Web 服务器内部的服务器端的Java应用程序，与传统的从命令行启动的Java应用程序不同，Servlet由Web服务器进行加载，该Web服务器必须包含支持Servlet的Java虚拟机。话说以前Servlet是什么根本都没听过。。之后找 Servlet的漏洞。。发现全是07年以前的内容。。恩这时候自大的我想，要找漏洞就先去了解下Servlet的运作方式吧，之后打开某个网址 http://HdhCmsTestibm测试数据/developerworks/cn/java/j-lo-servlet/ 我发现我真是傻逼什么也看不懂然后默默无闻的来到FUCK吧发了这么个帖子。。。大家有什么好的建议大牛们。。人呢。。有进展的话随时更新更新进展一月6日我和臭鱼两人已经拿到同一个公司并且C段下的另一个相同系统的权限关于网站框架是html+js的不能解析PHP是因为目录没解析权限我苦逼的找到个上传地构造了一个上传语句 dir参数填写直接传到了网站根目录然后把webshell发给臭鱼臭鱼已经取得root了。一月7日继续更新。昨晚臭鱼小男银我们三人又开始研究小男人构造了可以上传到服务器任意目录不过不解析。研究到1凌晨2点成果是我们取得了 C段下的两个服务器的root 用的是同样系统 Servlets 然后我准备从拿到的服务器研究配置文件看服务器解析什么今天上午就和三石大大大大牛两人研究拿到的服务器三石因为在墙外有些卡没有反弹成功所以我们发现网站同层目录下有很多.class 的java文件 http://extshow.fboos测试数据:8015/servlet/extys.winshow window就是一个存在的windows.class 但是不是在网站根目录注意和网站根目录同层所以我们试着上传自己的class程序 YoCo Smart 12:50:57 你现在看哪个.top是404，等半个小时再看吧。不知道是不是我这边打不开的缘故还是什么，先歇歇脑子吧 YoCo Smart 12:53:12 你要是做过jsp网站就应该能想到，java web有延时，因为java消耗太高，不能实时更新，所以有时候对jsp做更改，不是一按F5就能看到效果的。这个也是基于java语言的，猜测一下应该是和jsp类似，猜的对不对半个小时以后就知道了活着不可亲你令我生不如死 12:53:44 额你我也上传个他测试的class 试试活着不可亲你令我生不如死 12:56:03 http://extshow.fboos测试数据:8015/servlet/extys.winshow 你上传的？？活着不可亲你令我生不如死 12:56:18 哦不是 YoCo Smart 12:56:22 明显不是 YoCo Smart 12:57:21 不知道配置文件里面哪个是管着刷新时间的，上次传的那个left是四十分钟前的，不知道什么时候刷新生效的。保险起见我准备等一个小时 YoCo Smart 12:57:30 我的是top.class 发几张图片 /home/show/extys/servlets/extys目录下面所以访问 http://extshow.fboos测试数据:8015/servlet/extys.winshow 可以解析但是我们把可以解析的1.class 和2.class 交换下文件名在访问就会出现404 在改回来就又可以访问了这是很纠结的地方 1月8日我找到07让他帮我反编下class 然后发现问题所在 package extys; import java.io.IOException; public class winshow extends HttpServletEx { public void EallGet(HttpServletBean hsBean) throws Exception, IOException { EallPost(hsBean); } public void EallPost(HttpServletBean hsBean) throws Exception, IOException { String js = hsBean.getParameter("js"); js = MyTools.replaceAll(js, ".", "/"); hsBean.println("<div id=winshow style='height:100%'>我是中国人</div>"); hsBean.println("<script language='javascript' type= 'text/javascript' src='/js/" + js + ".js'></script>"); } public void destroy() { } } 包名要是extys 所以我们自己的是无法解析的。。那我们就编译个extys.的然后我把整站打包下来了可以看到源码感谢07的反编译工具让我结束这个帖子吧。。。系统已经研究的差不多了如果继续下去的话应该有可能拿到服务器目的不是为了脱库不是为了挂黑只是为了研究准备把漏洞通知给管理员 http://HdhCmsTestqinghao.cn/1.php 这样的成果已经让我感到很满意了我一个人的话肯定搞不来感谢帮助我的人三石。。鱼。。小男银。。07

声明：本文来自网络，不代表【好得很程序员自学网】立场，转载请注明出处：http://haodehen.cn/did12554

更新时间：2022-09-13 阅读：58次