记录一次完整的教育站点渗透过程 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

漏洞

⁹⁹⁺

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

记录一次完整的教育站点渗透过程

Segador 2022-04-24 21:30:05 186888

所属地四川省

*该漏洞已上报相应学校管理员。

前言

今天又是风和日丽的一天，莫名其妙搞到学校会计系的一个文档，好奇心促使我点开看了一眼，发现了一个作业提交平台，ip为：*.*.*.114:9100,看着这熟悉的ip，我又点开了那尘封已久的信息收集导图。

1650800169_62653629ec5f00c38e20e.png!small

发现貌似并没有做太详细的收集，于是，我又打开了那令人爱恨不得的nmap，开始了漫长的等待……

漏洞发现

经过一番搏斗，大概了解了目标，接下来，又是各种摸索伦打，尝试各种，手工注入、密码爆破……无果… 你以为我这就放弃了？没错是打算放弃了，当我正准备关机时，“一束光照在了avws上”我抱着试一试的心态，扫了一下目标站点，不扫不知道一扫吓一跳啊，比惊喜更惊喜的无疑是这个凸显眼前的Struts2漏洞，这确实是让我没想到的没想到。 1650806262_62654df66644af9739fff.png!small

漏洞验证

根据avws提供的路径，接下来我们便去做了个小小的漏洞验证，首先去GitHub上了Struts2的小工具包，是由python3编写，下载解压完，打开我们的dos终端，用python.exe Struts2Scan.py -u url 1650806287_62654e0f092de39f8980e.jpg!small

可以看到漏洞s2-016确实存在，虽然有点老，不管哈哈哈。

漏洞利用

又恰好在我的工具包里有一个2018年的Struts2的exp整合利用包，上去看一下，也还好，可以用S2-016，接下来就是惊心动魄的时候了，输入漏洞存在的路径，选择exp，一键捅穿。 1650806316_62654e2c739d5b4be6f8e.jpg!small 1650806326_62654e362d843b4d6bbe3.png!small

可以看到，已经利用成功了，接下来whoami看看权限，可以看到，administratora权限，哟还挺高。（这里解释一下，jsp脚本的站点，一般情况下，只要不被降权，都会继承administrator权限）

Get webshell

你以为拿到个shell就结束了吗，当然不是，由于工具限制，这里我们考虑上个大马，功能更齐全，方便下一步的。 1650806369_62654e6123999eab7e1d1.png!small 1650806362_62654e5aade33125c9262.png!small 渗透却发现，能上传上去，却连接不了，怎么办呢？难不成就此结束？那不可能，细细摸索一番后，恍然大悟，原来是它的tomaca版本太低，执行不了我们的大马，那咋办呢……一番思索，想起了哥斯拉大战变形金刚，那就用哥斯拉试试吧，

1650806387_62654e73a4d1d20532a94.png!small 首先用哥斯拉生成个脚本，然后，我们再上传到服务器，接下来，激动人心的时候到了，用哥斯拉成功链接！由于是第一次用哥斯拉的马，这个马确实功能有点惨不忍睹，一番熟悉，发现这个马儿居然集成了一个msf，那好玩了呀。

提权

虽然它本身就是个administrator权限，但我依旧觉得system权限更香。接下来，便是我们的各种提权操作，考虑到服务器上有360，做个免杀吧，太麻烦了，干脆，写个无文件加载到内存，由于出生在一个风吹雨淋的小山村，兜里的money不允许我随意嚯嚯，于是，先上去ngrok做个免费的隧道吧，慢是慢了点，比没有好吧。 1650800304_626536b0120432fc6f26e.png!small