EDU实战 | 某大学证书站漏洞打包

青萍安全 2025-03-10 22:57

之前发现手里的供应链源码刚好某个证书站也有用到，随即代码审计

某处处理文件上传的
getShowimages方法没有对文件后缀名进行检查，导致任意文件上传getshell

构造文件上传数据包，贴上免杀马数据包以后发包

成功上传文件，访问空白看来是被解析了

当前主机权限为www，使用suggest脚本查找可提权的exp，使用脏牛提权失败，随之使用4034提权成功，就到这了吗？由于src不允许后渗透的操作，我们使用其学校自带的vpn隧道连进去，账号密码就用之前收集下来的

成功
进入学校内网之后准备
连接ssh

双网卡主机通过nginx反向代理到外网去，通10段和192段，先做一下本机后渗透
，
8
888
端口开放
bt服务，
使用
命令查看
bt默认密码：
/etc/init.d/bt default

成功登陆宝塔

通过这台
双网卡主机进入
10
大段，指纹识别一波

使用任意文件上传getshell

后渗透获取控制台密码

成功登陆后台获取很多其他网段主机信息，通过对某内网群控系统的0day攻击，获取到了以下成果

禅道：

某段下的一台主机通过密码碰撞直接进入ZenTao后台

数据库连接信息

ssh连接密码获取直接连接目标主机

内网shiro：

指纹识别到了shiro特征

使用shiro自定义扩展key跑目标

写入webshell

内网其他linux主机*40

总结：

后面
跨网段然后再跨多网段
，很枯燥的就没有往下去写了，
内网打包直接提交上去了。