记一次对某客户端的安全测试

1337163122

​https://mp.weixin.qq.com/s?__biz ... 8a1fcbc183d841c4#rd
记一次对某客户端的安全测试russell06 潇湘信安 今天

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。                         请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

文章来源：先知社区（russell06）
原文地址：https://xz.aliyun.com/t/10253

0x01 起因
此次接到的项目是对某客户端进行安全测试。之前的工作内容除了偶尔测测 App 之外，大部分的测试目标还是以 B/S 架构的 Web 为主，这是第一次对 C/S 架构的客户端进行测试，所以也是两眼一抹黑，只能先按照测 Web 的常规思路来了。

0x02 抓包
首先查看目标客户端是否存在代理配置功能（大多数没有），可以看到只有个简单的登录功能，并无代理配置功能。

​

Proxifier+BurpSuite：查看BurpSuite中配置的代理地址及端口

​

在Proxifier中添加代理服务器（ip、port为BurpSuite中配置的代理地址及端口）

​

配置好后，进行检查，测试与BurpSuite的连通性（BurpSuite 中有流量即为成功连通）

​

在Proxifier中添加代理规则

​

BurpSuite成功拦截到客户端的登录请求

​

0x03 数据包分析
成功拦截到数据包之后，便打算对其进行分析，结果一看就绝望了，请求包跟响应包均被加密

​

​

尝试Web访问：之前测App时遇到过手机端流量被加密，但PC端未加密的情况，遂复制请求链接尝试 Web访问，并未获取到有效信息

​

由于该客户端内相关功能的请求参数均以POST方式传输，流量均被加密，所以暂时放弃，转变思路打算从服务器入手

0x04 柳暗花明
对目标服务器进行端口扫描，发现开放的端口还挺多，9043、9060分别为 WebSphere默认的管理控制台安全端口、管理控制台端口

​

默认登录地址为/ibm/console，此处用默认的用户标识admin成功登录

​

一波三折：按理说成功进入WebSphere管理控制台，拿到shell只是顺理成章的事情，但是事情远没有我想象中的那么容易，首先使用之前打好的war包进行上传

​

选择war包，填好上下文之后报错

​

关于这个报错，我上网搜索了好久最终汇总了几种原因以及解决方案，分别是重启WebSphere、war包中包含的文件内容格式有误、打war包时所用的jdk与目标 WebSphere的jdk版本不一致、修改一些WebSphere的配置文件。

将war包中的jsp文件内容修改为打印字符串（无害内容），重新打包后上传，依旧报错

更换jdk版本：
从前面抓取到的数据包中可知目标使用的jdk版本为1.5.0_21，遂下载对应版本的jdk使用jar命令对无害jsp文件打war包后上传，依旧报错

​

​

Myeclipse构造war文件：

通过此前的多次尝试均未解决这个报错，于是卡在这个步骤上好久，最后通过查阅资料得知，WebSphere 6.x版本默认支持的Web应用是2.3（web.xml配置的web-app_2_3.dtd），所以选择使用Myeclipse来生成war文件

       
•         Myeclipse新建web项目
  
         
•         将jsp文件放至WebRoot目录下
  
         
•         导出项目为war文件
  
  

​

​

生成的war文件目录结构如下

​

选择生成的war文件并填写上下文进行上传

​

步骤1-4无需操作，点击下一步
步骤5点击完成后，记得选择保存到主配置

​

安装完成后应用程序状态为已停止，点击启动即可成功启动

​

​

​

0x05 坑点
jsp文件需使用Godzilla生成的webshell，刚开始使用Behinder v3.11生成的马，虽然可以上传成功，但是会提示页面存在，无法获取密钥，猜测可能与目标jdk版本过低有关，具体原因不明。
​