弱密码提权
目标是北京**公司开发的在线实验仿真系统,经过搜索用户手册有弱密码admin/*******和jiaowu/*******存在
后台用的是CKEditor 4.5,各种地方的上传文件也都有检测
系统一
查找了一番后终于发现了突破口:
登陆后切换身份为教务,在课程库里新建或修改课程。点击最下方展开按钮,有许多上传实验辅助内容的地方。
这里选择上传帮助文档,因为看样子这里会自动帮我们解压。
打包一个zip,包含index.html和shell.jsp,上传。至于为什么是能确定是jsp,看下一节。
同时要在“虚拟实验插件”里上传任意文件,否则不会显示帮助文档链接。
上传后查看课程详细信息,点击实验帮助
打开了实验帮助,就能看到index.html里的内容了。
改url为shell.jsp即可连接
某些学校的WAF干脆拦了所有.jsp网页的访问,不过还好可以用shell.jspx
系统二
在查找目标的时候,发现还有一种新一点的系统。里面UI和模块名称变了,但大体思路没变
在右上角菜单里选择资源共享,然后在左侧左侧添加资源
资源类型:基本zip包;资源文件:resource.zip;资源插件:任意exe
打包好resource.zip,包含一个resource文件夹,文件夹内是index.html和shell.jsp和main.Unity3d
提交后左侧在资源列表,查看新建的资源,点开始实验。之后试验台下方就会iframe到解压的资源地址
改url为shell.jsp,即可连接
Session泄露
后台闲逛的时候,看到了系统运行监控页面,明显的iframe。就是在这里确定的java环境。
进Session监控,发现可以直接偷别人的session放到JSESSION里用。
把URL复制到隐私窗口,照样能访问。似乎较旧版本系统程序自带的Druid Monitor没有设置访问权限,导致session泄露。
总结
漏洞已上报edusrc。第一次和WDLJT大规模挖洞,虽然有点累但挺开心的。