web安全中让文件读取漏洞与shell环环相扣的示例分析

web安全中让文件读取漏洞与shell环环相扣的示例分析

这篇文章主要介绍了web安全中让文件读取漏洞与shell环环相扣的示例分析，具有一定借鉴价值，感兴趣的朋友可以参考下，希望大家阅读完这篇文章之后大有收获，下面让小编带着大家一起了解一下。

仅供参考学习使用

过程

在整理报告的时候，我发现大强的漏洞报告里有一个XXE漏洞，并且还是回显的。仔细的研究后发现，这个接口是整个系统登录后的的统一参数入口。系统解析到xml里的方法后，再根据对应的方法执行响应的逻辑。按耐不住内心的躁动，我和大强开始了通过fuzz找各种敏感文件。

经过各种尝试，读取了大量系统敏感信息。但是对Get  shell几乎无任何帮助。大强几乎要放弃了。此时，我盯着大强的电脑屏幕、发现他桌面放着1.txt、2.txt等等文件。真巧，我桌面也使用简单命名，放着一些重要的临时文件。灵机一动、是不是有不少人也为了图方便，在桌面存储一些不易记录的敏感信息。接着，我们直接对管理员桌面文件进行了fuzz。在一番尝试下，我们找到了111.txt、123.txt、pwd.txt临时文件。其中发现pwd.txt文件中存储着一些网址及对应的账号密码，以及一些零散的字符串，貌似像密码。此时我和大强笑出了鹅叫声，他叫嚣着要教管理员如何做人。

我和大强立即对这个目标主机进行了全端口服务扫描。发现这个主机开放着21、80、443、3389、6379、8080、8085、8086服务。我和大强盘算着，利用读到的6对账号密码中的某一个直接登入3389。怀着激动的心情，进行了一次又一次的尝试。然而画风是这样的：

进入3389失败。。。

进入ftp失败。。。

进入redis失败。。。

由于读取到的链接地址是内网系统，根本没有进入的机会。

……

各种服务进入失败后，我们尝试进行了对3389、ftp等服务的爆破。仍然没有结果。我们对目标地址的8085和8086端口直接访问时，也没有任何服务直接展示。但是发现8085和8086服务连通性很不错。

我们通过度娘努力寻找着可能存在8085和8086默认端口的服务信息。但依然无所获。

此刻，大强教管理员做人的叫嚣声也消失了。

等等，这不是结束，这样结束太草率了。我闭上眼，隐隐约约~仿佛好像在哪见过把这两个端口做默认端口的服务。经过大脑高速运转，以及一些残余的记忆。想起了多年以前遇到的treeNMS和treeDMS两个管理系统，默认端口就是8086和8085。经过验证，这次没让我和大强失望，就是这一对兄弟系统。我们利用通过XXE任意文件读取漏洞读取到的admin账号密码组合。首先成功的进入了treeNMS系统。

登录到treeNMS

查看系统数据，What F**K,这个管理端是空的。Redis没有任何的信息。莫慌莫慌，还有DMS系统呢。怀着忐忑的心里继续尝试登入下一个。

登入treeDMS

此刻心情是无比激动的，大强的叫嚣声又回来了。管理端一共有三个账户，密码是通过MD5存储的。经过反查，成功查到两个账号的密码。直接登入。看看能不能有所收获。

登入后台

果然不出所料。这个商品管理后台系统还是比较脆弱的。对上传类型的文件没有做限制，我们通过图标设置模块，进行文件上传直接拿到了shell。当然内心的那份遗憾已经得到了很好的弥补。

感谢你能够认真阅读完这篇文章，希望小编分享的“web安全中让文件读取漏洞与shell环环相扣的示例分析”这篇文章对大家有帮助，同时也希望大家多多支持高防服务器网，关注高防服务器网行业资讯频道，更多相关知识等着你来学习!

[微信提示：高防服务器能助您降低 IT 成本，提升运维效率，使您更专注于核心业务创新。

[图文来源于网络，不代表本站立场，如有侵权，请联系高防服务器网删除]
[