弱密码提权

目标是北京**公司开发的在线实验仿真系统,经过搜索用户手册有弱密码admin/*******和jiaowu/*******存在

后台用的是CKEditor 4.5,各种地方的上传文件也都有检测

系统一

查找了一番后终于发现了突破口:

登陆后切换身份为教务,在课程库里新建或修改课程。点击最下方展开按钮,有许多上传实验辅助内容的地方。

上传shell
上传shell

这里选择上传帮助文档,因为看样子这里会自动帮我们解压。

打包一个zip,包含index.html和shell.jsp,上传。至于为什么是能确定是jsp,看下一节。

同时要在“虚拟实验插件”里上传任意文件,否则不会显示帮助文档链接。

上传后查看课程详细信息,点击实验帮助

查看shell
查看shell

打开了实验帮助,就能看到index.html里的内容了。改url为shell.jsp即可连接

验证权限
验证权限

某些学校的WAF干脆拦了所有.jsp网页的访问,不过还好可以用shell.jspx

系统二

在查找目标的时候,发现还有一种新一点的系统。里面UI和模块名称变了,但大体思路没变

在右上角菜单里选择资源共享,然后在左侧左侧添加资源

资源类型:基本zip包;资源文件:resource.zip;资源插件:任意exe

打包好resource.zip,包含一个resource文件夹,文件夹内是index.html和shell.jsp和main.Unity3d

上传shell
上传shell

提交后左侧在资源列表,查看新建的资源,点开始实验。之后试验台下方就会iframe到解压的资源地址

查看shell
查看shell

改url为shell.jsp,即可连接

验证权限
验证权限

Session泄露

后台闲逛的时候,看到了系统运行监控页面,明显的iframe。就是在这里确定的java环境。

Druid Monitor
Druid Monitor

进Session监控,发现可以直接偷别人的session放到JSESSION里用。

把URL复制到隐私窗口,照样能访问。似乎较旧版本系统程序自带的Druid Monitor没有设置访问权限,导致session泄露。

Session泄露
Session泄露

总结

漏洞已上报edusrc。第一次和WDLJT大规模挖洞,虽然有点累但挺开心的。

fofa
fofa
前因后果
前因后果

发表评论

您的电子邮箱地址不会被公开。