EDU实战 | 某大学证书站漏洞打包
EDU实战 | 某大学证书站漏洞打包
青萍安全 2025-03-10 22:57
之前发现手里的供应链源码刚好某个证书站也有用到,随即代码审计
某处处理文件上传的
getShowimages方法没有对文件后缀名进行检查,导致任意文件上传getshell
构造文件上传数据包,贴上免杀马数据包以后发包
成功上传文件,访问空白看来是被解析了
当前主机权限为www,使用suggest脚本查找可提权的exp,使用脏牛提权失败,随之使用4034提权成功,就到这了吗?由于src不允许后渗透的操作,我们使用其学校自带的vpn隧道连进去,账号密码就用之前收集下来的
成功
进入学校内网之后准备
连接ssh
双网卡主机通过nginx反向代理到外网去,通10段和192段,先做一下本机后渗透
,
8
888
端口开放
bt服务,
使用
命令查看
bt默认密码:
/etc/init.d/bt default
成功登陆宝塔
通过这台
双网卡主机进入
10
大段,指纹识别一波
使用任意文件上传getshell
后渗透获取控制台密码
成功登陆后台获取很多其他网段主机信息,通过对某内网群控系统的0day攻击,获取到了以下成果
禅道:
某段下的一台主机通过密码碰撞直接进入ZenTao后台
数据库连接信息
ssh连接密码获取直接连接目标主机
内网shiro:
指纹识别到了shiro特征
使用shiro自定义扩展key跑目标
写入webshell
内网其他linux主机*40
总结:
后面
跨网段然后再跨多网段
,很枯燥的就没有往下去写了,
内网打包直接提交上去了。