EDU组合拳——getshell

wangqiang

​EDU组合拳——getshell
原创 微笑代码狗 moonsec
2022-04-07 12:18
转载自https://mp.weixin.qq.com/s?__biz=MzAwMjc0NTEzMw==&mid=2653578488&idx=1&sn=9ccb137e72360d5aab952110255a2375&chksm=811b72bab66cfbac8f93e9ab1999c47cf05a33a1a998b20fcd9e707c96f341cfebb0a2143061&mpshare=1&scene=23&srcid=0407RWmYy64kfuENdDtREz8t&sharer_sharetime=1649305443859&sharer_shareid=ee83a55e0b955b99e8343acbb61916b7#rd

大佬勿喷！
首先就是信息收集。官网和其他子域名的资产逛不到洞，也懒得收集学号去登录统一身份认证。
就只能找点边缘资产进行打点突破了。然后就收集到了该学校的材料系统。

​

前台只能看人家老师上传的docx文件啥的，没啥搞头。这时候肯定是要进后台才有机会进行突破的。然后点击右上角的管理佐证材料：

​

然后登录框，抱着无所谓的态度输入了个admin/admin

​

居然进后台了（弱口令yyds）

​

然后这里并没有让我特别开心，因为功能点少，没有啥头像上传的，上传只能是上传附件，尝试了绕过也不解析。
然后就测试其他的功能点（文件导出功能）

​

本来也没啥东西，刚想放包，发现里面有个root和system啥的，于是就解码看了看

​

解码后发现这不就是下载的文件的绝对路径吗，然后尝试下把路径改成C盘下的win.ini文件试试能不能下载

​

成功的下载了文件。还好比较细心。
任意文件下载挖到了，然后就继续挖掘看看有没有其他的漏洞
目录遍历漏洞：（单单提交这个漏洞EDU不收！）F12大法，发现有一个数据包很可疑，就抓包看看它干了什么事情。

​

​

数据包里面有个path，这一看就知道是路径的意思了，然后解码详细查看

​

然后尝试直接改成C盘，看看能不能有数据回显

​

发现回显了大量数据，然后放到浏览器详细查看

​

成功的遍历。这时候就考虑到细心了，前面查看到了个tomcat目录，我猜测它对外开启了tomcat的服务，然后就进行了端口扫描，发现8080端口是Tomcat的页面

​

这里高兴了一半，然后怀着忐忑的心情点击登录管理，直到它弹出了登录框。这你妹的买彩票都没这么幸运吧，Tomcat居然对外
开放不限制仅内网登录。然后思路就来了，目录遍历+任意文件下载，这时候只要拿到Tomcat的账号密码就可以getshell了。
然后网上找了找存放Tomcat用户名和密码的配置文件。

​

然后Tomcat的目录不就C盘下默认的嘛，直接组合拳登录到Tomcat后台。

​

然后部署WAR包getshell

​

​

最后祝大家天天挖到洞！
​