记一次任意文件下载到getshell

0x02 测试过程

Em…，试试运气，反手admin admin就进去了，是一个管理系统

然后根据网站的功能点，随便点击几个，发现除了常规的操作也没啥了，翻了一会，发现有一个文件下载操作

好家伙，藏得挺深，抓包看看，请求的地址好像是一个文件

fileName改成../etc/passwd看看，好家伙，报错了

看来应该不是这个路径，随后依次尝试了../../etc/passwd和../../../etc/passwd都是500错误，到了../../../../etc/passwd的时候就能访问到了

再看看能不能读历史命令，如果可以读历史命令，可以看看有没有网站备份文件或者网站安装包，嘿嘿，改路径为/root/.bash_history，访问！….500错误

看来应该是权限不够。没办法了，从其他地方入手吧。

接下来可以F12看看网站源代码，用源代码中标志性的语句或者文件去fofa搜索相同的系统，说不定会有root权限，大概像这样

有了相同的系统之后，再次尝试弱口令

可能是最近运气不错吧，弱口令又进去了。嘿嘿

接下来尝试刚刚的操作，下载../../../../etc/passwd文件看看

再试试读历史命令/root/.bash.history

可以读到历史命令，慢慢翻，最终发现有网站源码

反手下载下来

解压一下

JSP的站，没学过java的我裂开了，先跟着历史命令把环境搭起来，于是在自己服务器上部署了一样的系统。

没学过java，自动化java审计工具还收费，就手工一个方法一个方法康康把

找了大半天，都快想放弃了…

不过这套系统有mysql，先看看数据里面的结构吧。大概长这样

随后在管理网站用户的表里面发现了一个系统自带的账户(这里用账户x表示)，账户x比admin权限还要高

把密码放到cmd5查一下

要钱？我穷的一批，没钱，反手找好师傅查一查，好师傅很快啊，就回了消息

随后我用这个账户x登录自己搭建的系统，发现在网站是根本查不到这个账户存在的，也就是说可能是开发商留下的。嘿嘿，有了这个账号，其他系统都可以登录了。

随后发现系统有一个上传点可以上传文件，既然都到白盒了，那么可以部署一个文件实时监控工具，看看发生变化的文件，也可以看看等会要上传的文件是否上传了。

这里使用了FileMonitor来监控文件

上传文件、抓包改后改后缀.jsp

提示上传失败