jsp+mysql+resin某站渗透过程

初步看了一下,jsp+mysql架设,很容易的找到了一个注入点:http://www.91ri.org/ showNews.do?action_flag=get&news_id=5796

获得mysql的root密码为123321(cmd5太黑了,这都收费),telnet 了一下,mysql不能外连。

CAB6CCCFAA4F9B2297B359AE934B6EC1  zhangguishu-123

3C1CEFC8A3E3E190CFB98B63C0A493C6   linmengjian8018

扫目录直接找到fck编辑器,http://www.91ri.org /fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector 但是无法利用。

发现几乎所有的目录都可以列出目录。用后面的那个帐号登陆是管理员,添加内容处有两个上传,都自动重命名,其中一个传视频的可以上传asa格式的文件,本以为到这里基本就拿到webshell了,谁知道上传后找不到路径。

最后在前台一个有视频的页面查看源文件找到路径。然而….asa直接以文本打开了…不解析啊。然后随便找个页面报错才发现,服务器是Resin-3.0.14的解析器。

好吧,换个思路,反正mysql是root权限,试试写文件吧。写文件需要知道绝对路径和magic_quotes_gpc()=OFF,但是怎么 报错都不出路径。后来想到可以根据解析器去找web路径,resin的配置文件中有web路径,可以尝试resin默认安装路径找到配置文件。

c:/Resin-3.0.14/conf/resin.conf

d:/Resin-3.0.14/conf/resin.conf

e:/Resin-3.0.14/conf/resin.conf

f:/Resin-3.0.14/conf/resin.conf

c:/Resin/conf/resin.conf

d:/Resin/conf/resin.conf

e:/Resin/conf/resin.conf

f:/Resin/conf/resin.conf

用穿山甲猜了一下resin的安装路径,读取D:/Resin-3.0.14/conf/resin.conf,在末尾处有web路径。

继续使用穿山甲,写入jsp一句话后门,拿连接器连上,传上一个大马,getshell成功。

Cmd执行,whoami,居然是管理员权限,直接net user、net localgroup了。Ipconfig发现是内网,netstat -an发现3389已经开启。

上传lcx,转发一下端口,然而本地收到了返回

但是连接的时候并没有成功,数据也没有进行交换,开始以为是杀软关系,tasklist看了一下存在瑞星和麦咖 啡,taskkill /im XX.EXE /F 直接搞定进程,net start 也没发现安全软件相关进程,顺便也在注册表对3389端口的限制 去除了,但是也依然没有连接上,人品问题。反正都是拿服务器,于是上个木马,打完手工!

91ri.org点评:其实本文没有太多技术含量,jsp的网站大家会接触的比较少,转来让大家学习下对付jsp网站的思路。个人认为唯一亮点是使用taskkill /im XX.EXE /F  方法kill进程。(经91ri.org测试 此方法可杀麦咖啡进程 5次后麦咖啡即不会再启动)。

本文转自作者kylin首发法克论坛 由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。