初步看了一下,jsp+mysql架设,很容易的找到了一个注入点:
获得mysql的root密码为123321(cmd5太黑了,这都收费,建议以后去 HdhCmsTesttmd5测试数据 ),telnet 了一下,mysql不能外连。
扫目录直接找到fck编辑器,
发现几乎所有的目录都可以列出目录。用后面的那个帐号登陆是管理员,添加内容处有两个上传,都自动重命名,其中一个传视频的可以上传asa格式的文件,本以为到这里基本就拿到webshell了,谁知道上传后找不到路径。
最后在前台一个有视频的页面查看源文件找到路径。然而….asa直接以文本打开了…不解析啊。然后随便找个页面报错才发现,服务器是Resin-3.0.14的解析器。
好吧,换个思路,反正mysql是root权限,试试写文件吧。写文件需要知道绝对路径和magic_quotes_gpc()=OFF,但是怎么报错都不出路径。后来想到可以根据解析器去找web路径,resin的配置文件中有web路径,可以尝试resin默认安装路径找到配置文件。
c:/Resin-3.0.14/conf/resin.conf
d:/Resin-3.0.14/conf/resin.conf
e:/Resin-3.0.14/conf/resin.conf
f:/Resin-3.0.14/conf/resin.conf
c:/Resin/conf/resin.conf
d:/Resin/conf/resin.conf
e:/Resin/conf/resin.conf
f:/Resin/conf/resin.conf
用穿山甲猜了一下resin的安装路径,读取D:/Resin-3.0.14/conf/resin.conf,在末尾处有web路径。
继续使用穿山甲,写入 jsp 一句话后门,拿连接器连上,传上一个大马,getshell成功。
Cmd执行,whoami,居然是管理员权限,直接net user、net localgroup了。Ipconfig发现是内网,netstat -an发现3389已经开启。
上传lcx,转发一下端口,然而本地收到了返回
但是连接的时候并没有成功,数据也没有进行交换,开始以为是杀软关系,tasklist看了一下存在瑞星和麦咖啡,taskkill /im XX.EXE /F 直接搞定进程,net start 也没发现安全软件相关进程,顺便也在注册表对3389端口的限制去除了,但是也依然没有连接上,人品问题。反正都是拿服务器,于是上个木马,打完手工
摘自 kylin's blog|查看更多关于jsp+mysql+resin某站渗透过程 - 网站安全 - 自学php的详细内容...