前言
在某次红队测试时发现了jeecg框架,原本可以通过session泄露进入后台一把索,但创宇盾注定给这场测试增加了困难度。
jeecg
首先在一个tomcat页面下面进行目录扫描,发现/xxx/ 目录,仔细探测发现为jeecg框架。
image.png
顺利发现druid中存在session泄露。
image.png
修改cookie登录系统。
image.png
可获取722个管理用户和密码。
image.png
通过网上公开上传漏洞测试发现存在创宇盾。
image.png
尝试各种绕过方法均未突破。
审计zip漏洞
基于这种的思路就是需要找一个漏洞既可以shell也能绕过创宇盾,一边下载审计代码一边想着这个思路。
果然发现了一个zip压缩和解压的代码。如果可以通过zip压缩的方式将木马解压出去,创宇盾应该不会检测到。
通过cgformTemplateController控制器调用uploadZip方法上传一个zip。
image.png
而后doAdd方法调用了removeZipFile方法,里面存在解压操作
image.png
image.png
unzip 方法没有过滤../../,可以跳出目录。
image.png
绕过创宇盾
打包一个zip文件,将木马放在其中。解压的时候利用../跳转到指定目录。
image.png
为了绕过创宇盾在zip文件头部填入脏字符。
image.png
image.png
成功上传。返回一个zip文件名
再通过doAdd方法解压该文件。
image.png
成功shell。
image.png
总结
通过分析代码存在zip解压漏洞,可用于绕过创宇盾是一种不错的思路。
