檢測某大學圖書館

0x01

因爲過程是後續才記錄的，管理員已經修復了站點的漏洞，因此本文看成一篇記錄思路的文章

0x02

首先對站點進行信息收集，目標環境是Tomcat+jsp   服務器是windows2003

使用nmap進行端口掃描

Starting Nmap 6.40 ( http://nmap.org ) at 2014-03-13 09:25 CST
Nmap scan report for xxoo.com
Host is up (0.013s latency).
Not shown: 958 filtered ports
PORT      STATE SERVICE
25/tcp    open  smtp
80/tcp    open  http
81/tcp    open  hosts2-ns
82/tcp    open  xfer
85/tcp    open  mit-ml-dev
99/tcp    open  metagram
110/tcp   open  pop3
119/tcp   open  nntp
143/tcp   open  imap
179/tcp   open  bgp
465/tcp   open  smtps
548/tcp   open  afp
587/tcp   open  submission
801/tcp   open  device
992/tcp   open  telnets
993/tcp   open  imaps
995/tcp   open  pop3s
1065/tcp  open  syscomlan
1069/tcp  open  cognex-insight
1287/tcp  open  routematch
2021/tcp  open  servexec
2725/tcp  open  msolap-ptp2
2811/tcp  open  gsiftp
2909/tcp  open  funk-dialout
3128/tcp  open  squid-http
3546/tcp  open  unknown
3905/tcp  open  mupdate
5200/tcp  open  targus-getdata
6669/tcp  open  irc
7000/tcp  open  afs3-fileserver
8008/tcp  open  http
8080/tcp  open  http-proxy
8081/tcp  open  blackice-icecap
8090/tcp  open  unknown
8100/tcp  open  xprint-server
8180/tcp  open  unknown
8888/tcp  open  sun-answerbook
9040/tcp  open  tor-trans
11967/tcp open  sysinfo-sp
21571/tcp open  unknown
32784/tcp open  unknown
57797/tcp open  unknown
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

經過nmap掃描有某些不許確的地方。而後繼續瀏覽網站，觀察網站構架。發現網站大多數是jsp單個文件或者是html文件。

將網站放入google，進行搜索構建  inurl:admin site:xxoo.com

獲得以下結果

進入該頁面而後進行弱口令測試，發現跳轉到以下頁面

看到user_logon.action,立馬想到了S2框架

使用S2漏洞利用工具發現成功列出網站的路徑，而且能夠執行命令，上傳文件。

而後進行上傳jsp一句話使用chopper進行連接，鏈接後發現不能操做文件目錄。而且連文件都看不到。上傳一個jsp大馬也不行。這時候覺得要完成本次測試，卻出現這樣沒想到的問題。

若是就這樣失敗了，那我也不會寫下這篇文章了。

0x03

開始分析，而且想辦法怎麼解決這個問題。經過谷歌百度也沒找到方法。這時候，我就在想服務器上還會不會存在其餘的站點，咱們能夠使用s2的工具進行跨目錄寫文件，由於我如今的權限是

system  而後對服務器進行域名反查，發現服務器上只有這個站點。雖然是這樣可是，仍是沒有放棄。

開始慢慢的列目錄，在D盤中發現Mysql 與 Oracle 數據庫。當時我在想管理幹嗎要安裝兩個數據庫，而且我執行net start 發現有mysql的啓動。心想服務器確定還存在其餘的站點，只是沒有找到而已。而後，在網站中逛了一下，發現了幾個連接。點開發現，跳轉到的頁面是php的。而且域名是http:xxoo.com:8090 發現這樣的是狀況後，就想到這個站點差很少能夠拿下了吧。而後開始在服務器上找該站點的目錄，因爲開始網站服務器的目錄比較亂找了好久也沒找到。後面卻在C盤發現了php文件的身影。進行文件名對照發現，該目錄就是8090對應的web目錄。而後果斷對其進行寫馬。使用chopper進行鏈接，成功鏈接。而且能夠操做文件。到次，web有用的shell已經拿下。

0x04

補充：在發現遠程命令執行後，想直接對其進行提權。卻發現net net1 所有被刪除了，而且還有連接不上遠程桌面。經過註冊表也沒查看到遠程桌面端口。

後來因爲管理的緣由，圖就沒了。

 

本次檢測沒什麼多大的技術含量，老是在滲透過程當中仍是要耐心，不要輕易放棄。