web安全中讓文件讀取漏洞與shell環(huán)環(huán)相扣的示例分析

這篇文章主要介紹了web安全中讓文件讀取漏洞與shell環(huán)環(huán)相扣的示例分析，具有一定借鑒價(jià)值，感興趣的朋友可以參考下，希望大家閱讀完這篇文章之后大有收獲，下面讓小編帶著大家一起了解一下。

僅供參考學(xué)習(xí)使用

過(guò)程

在整理報(bào)告的時(shí)候，我發(fā)現(xiàn)大強(qiáng)的漏洞報(bào)告里有一個(gè)XXE漏洞，并且還是回顯的。仔細(xì)的研究后發(fā)現(xiàn)，這個(gè)接口是整個(gè)系統(tǒng)登錄后的的統(tǒng)一參數(shù)入口。系統(tǒng)解析到xml里的方法后，再根據(jù)對(duì)應(yīng)的方法執(zhí)行響應(yīng)的邏輯。按耐不住內(nèi)心的躁動(dòng)，我和大強(qiáng)開(kāi)始了通過(guò)fuzz找各種敏感文件。

經(jīng)過(guò)各種嘗試，讀取了大量系統(tǒng)敏感信息。但是對(duì)Get  shell幾乎無(wú)任何幫助。大強(qiáng)幾乎要放棄了。此時(shí)，我盯著大強(qiáng)的電腦屏幕、發(fā)現(xiàn)他桌面放著1.txt、2.txt等等文件。真巧，我桌面也使用簡(jiǎn)單命名，放著一些重要的臨時(shí)文件。靈機(jī)一動(dòng)、是不是有不少人也為了圖方便，在桌面存儲(chǔ)一些不易記錄的敏感信息。接著，我們直接對(duì)管理員桌面文件進(jìn)行了fuzz。在一番嘗試下，我們找到了111.txt、123.txt、pwd.txt臨時(shí)文件。其中發(fā)現(xiàn)pwd.txt文件中存儲(chǔ)著一些網(wǎng)址及對(duì)應(yīng)的賬號(hào)密碼，以及一些零散的字符串，貌似像密碼。此時(shí)我和大強(qiáng)笑出了鵝叫聲，他叫囂著要教管理員如何做人。

我和大強(qiáng)立即對(duì)這個(gè)目標(biāo)主機(jī)進(jìn)行了全端口服務(wù)掃描。發(fā)現(xiàn)這個(gè)主機(jī)開(kāi)放著21、80、443、3389、6379、8080、8085、8086服務(wù)。我和大強(qiáng)盤算著，利用讀到的6對(duì)賬號(hào)密碼中的某一個(gè)直接登入3389。懷著激動(dòng)的心情，進(jìn)行了一次又一次的嘗試。然而畫(huà)風(fēng)是這樣的：

進(jìn)入3389失敗。。。

進(jìn)入ftp失敗。。。

進(jìn)入redis失敗。。。

由于讀取到的鏈接地址是內(nèi)網(wǎng)系統(tǒng)，根本沒(méi)有進(jìn)入的機(jī)會(huì)。

......

各種服務(wù)進(jìn)入失敗后，我們嘗試進(jìn)行了對(duì)3389、ftp等服務(wù)的爆破。仍然沒(méi)有結(jié)果。我們對(duì)目標(biāo)地址的8085和8086端口直接訪問(wèn)時(shí)，也沒(méi)有任何服務(wù)直接展示。但是發(fā)現(xiàn)8085和8086服務(wù)連通性很不錯(cuò)。

我們通過(guò)度娘努力尋找著可能存在8085和8086默認(rèn)端口的服務(wù)信息。但依然無(wú)所獲。

此刻，大強(qiáng)教管理員做人的叫囂聲也消失了。

等等，這不是結(jié)束，這樣結(jié)束太草率了。我閉上眼，隱隱約約~仿佛好像在哪見(jiàn)過(guò)把這兩個(gè)端口做默認(rèn)端口的服務(wù)。經(jīng)過(guò)大腦高速運(yùn)轉(zhuǎn)，以及一些殘余的記憶。想起了多年以前遇到的treeNMS和treeDMS兩個(gè)管理系統(tǒng)，默認(rèn)端口就是8086和8085。經(jīng)過(guò)驗(yàn)證，這次沒(méi)讓我和大強(qiáng)失望，就是這一對(duì)兄弟系統(tǒng)。我們利用通過(guò)XXE任意文件讀取漏洞讀取到的admin賬號(hào)密碼組合。首先成功的進(jìn)入了treeNMS系統(tǒng)。

登錄到treeNMS

查看系統(tǒng)數(shù)據(jù)，What F**K,這個(gè)管理端是空的。Redis沒(méi)有任何的信息。莫慌莫慌，還有DMS系統(tǒng)呢。懷著忐忑的心里繼續(xù)嘗試登入下一個(gè)。

登入treeDMS

此刻心情是無(wú)比激動(dòng)的，大強(qiáng)的叫囂聲又回來(lái)了。管理端一共有三個(gè)賬戶，密碼是通過(guò)MD5存儲(chǔ)的。經(jīng)過(guò)反查，成功查到兩個(gè)賬號(hào)的密碼。直接登入?？纯茨懿荒苡兴斋@。

登入后臺(tái)

果然不出所料。這個(gè)商品管理后臺(tái)系統(tǒng)還是比較脆弱的。對(duì)上傳類型的文件沒(méi)有做限制，我們通過(guò)圖標(biāo)設(shè)置模塊，進(jìn)行文件上傳直接拿到了shell。當(dāng)然內(nèi)心的那份遺憾已經(jīng)得到了很好的彌補(bǔ)。

感謝你能夠認(rèn)真閱讀完這篇文章，希望小編分享的“web安全中讓文件讀取漏洞與shell環(huán)環(huán)相扣的示例分析”這篇文章對(duì)大家有幫助，同時(shí)也希望大家多多支持億速云，關(guān)注億速云行業(yè)資訊頻道，更多相關(guān)知識(shí)等著你來(lái)學(xué)習(xí)!