作品：思路渗透南昌教育局，误伤北师大主站作者：A11riseforme来自：法客论坛– F4ckTeam网址：/其实我这次依旧是个标题党，虽然说是思路党，但还是用了点工具的。

我来想想。

有cmd，nmap，浏览器，应该就没了。

这个站前前后后大概搞了将近两个星期的样子，差不多就是每天放学回来撸一撸，然后慢慢搞的。

只可惜最后还是没搞下来，如果再细心点的话应该就差不多了。

不过值得一提的，在搞这个站的过程中，不小心就把北京师范大学主站给OOXX了（真的是不小心。

）搞这个站完全是没有恶意的。

只是想起来初中的时候每次都是期中期末考试十五分钟之后，考试答案准时出现在这个网站上，我就很好奇，答案是早就放在这个服务器上还是十五分钟之后管理员才用U盘拷上来的。

好奇害死猫，于是我这次就好奇的想进服务器看一看，最后的结果是虽然没有拿到服务器权限，但是依然获得了浏览服务器全盘及下载的权限，以后要是答案先发出来了，我把它下载下来，嘿嘿。

直接说目标站好了，百度搜南昌教育局，第一个就是他了，/index.htm再说个题外话，当时我的电脑给放起来了，只好用我爸那台06年的电脑来搞了，开着酷狗还有个chrome就差不多把内存给占完了、、、实在没有工具，临时下了个nmap，这个工具应该不算差吧。

还是老规矩，点开网站到处撸一下，把基本的信息收集到。

/fuckerApache/1.3.41 Server at 218.64.77.2 Port 801.3.XX版本，这么老的apache想不到市级教育局在用。

换个大小写就返回404，说明不是windows的乱撸了一阵，发现整站都是静态的，没有任何参数点传入，不过有一个小小的问题。

http://218.64.77.2/images/它允许列目录了。

虽然现在没啥用，留着。

在首页找到个搜索，有可能是突破点。

搜索fucker，回车果然没搜到（这不废话吗）。

重点是看地址。

:8080/search/search?collId=1&order=&sort=&rows=&query=fucker原来8080端口还开了http服务。

这时候nmap就派上用场了，其实早该把他拿出来了。

Nmap -v -sT -sV -O -P0 -oX fucker.xml 检测一下目标网站的系统服务和一些端口banner的信息导出到xml中，其实也可以在cmd那里看，但是xml更直观一点。

嗯，开放的端口有21，22，80，8080 操作系统原来是Sun Solaris 10 (SPARC)（看不清的可以把图片拉大点看）得知对外开放的服务之后我就到谷歌上去搜了下，看看相应版本的ftp，shh，apache有没有什么相应的漏洞了。

其实apache应该是有的，不知道shh有什么远程溢出没有，能直接拿到root就不要去搞网站了。

很可惜的是，我没有找到什么值得利用的漏洞。

可能是本人有所疏漏吧，但是貌似从服务器下手ooxx不太符合我这枚小菜的实力。

还是老老实实的从web下手好了。

前面说到服务器还开了一个8080的端口，运行着http服务，来仔细端详一下他的页面：左上角露馅了我不知道Gpower是什么东西，但是谷歌肯定知道。

原来是叫通元，有了模版名就好办了，再来一次：/xapache/blog/item/c3c0473aacb3e7f515cecbe7.html看了下，发现是6.1的版本下的cms/web/downloadFiles.jsp 文件过滤不严，存在任意文件下载漏洞。

到目标站试了一下，果然。

:8080/cms/web/downloadFiles.jsp?file=/etc/shadow还有:8080/cms/web/downloadFiles.jsp?file=/etc/passwd就把这两个东西下下来了。

有了这个能干什么？破密码啊！破了root直接ssh连上去爽歪歪啊！！！但是我没工具啊。

无奈，干脆把这两个东西给Desperado 帮忙破解了。

自己再来看看还有别的地方的突破口没有。

我们来想想apache的容器，jsp的脚本，解释引擎是Tomcat/Coyote的，如果拿到个webshell 应该就是root权限了，关键是怎么拿呢？后台上传？好，那就开始找后台了，80端口的那个一开始就撸了，没找到，有没有site crawler之类的工具，看看8080端口，:8080/cms出来了Jsp的网站我不太懂应该怎么入侵，看过几篇文章，依稀记得jsp是展示层，是需要调用class 文件的，而这些class文件通常是在WEB-INF目录下，无权读。

那我们把class文件下载下来，用一个小工具反编译，就能得到数据库连接信息了啊。

前面用nmap得出了服务器系统是Sun Solaris 10 在这里就起到作用了，可以通过操作系统从而才出apache的配置文件路径，然后找到网站绝对路径啊！！/forum.php?mod=viewthread&tid=2242&highlight=apache从这里我知道了solaris的默认apache1.3的配置文件路径是在/etc/apache/httpd.conf试试看：:8080/cms/web/downloadFiles.jsp?file=/etc/apache/httpd.conf好东西出现了：下载下来看，发现之监听了80端口，没有8080端口的网站相关路径，我猜想是在tomcat 的server.xml文件中配置的，但是tomcat的server.xml文件路径我却没办法了，找不到。

先来看看80端口的配置吧。

ServerName 218.64.77.2## DocumentRoot: The directory out of which you will serve your# documents. By default, all requests are taken from this directory, but# symbolic links and aliases may be used to point to other locations.#DocumentRoot "/ftpdata/applications/homepage"在/ftpdata/applications/homepage/下面往下翻，还没完。

Alias /manual/ "/usr/apache/htdocs/manual/"<Directory "/usr/apache/htdocs/manual" >Options Indexes FollowSymLinks MultiViewsAllowOverride None</Directory>## Note that if you include a trailing / on fakename then the server will # require it to be present in the URL. So "/icons" isn't aliased in this # example, only "/icons/". If the fakename is slash-terminated, then the # realname must also be slash terminated, and if the fakename omits the # trailing slash, the realname must also omit it.#Alias /icons/ "/var/apache/icons/"<Directory "/var/apache/icons">Options Indexes MultiViewsAllowOverride NoneOrder allow,denyAllow from all</Directory># This Alias will project the on-line documentation tree under /manual/# even if you change the DocumentRoot. Comment it if you don't want to# provide access to the on-line documentation.#Alias /manual/ "/var/apache/htdocs/manual/"<Directory "/var/apache/htdocs/manual">Options Indexes FollowSymlinks MultiViewsAllowOverride NoneOrder allow,denyAllow from all</Directory>Alias /eng/ "/ftpdata/applications/eng/"<Directory "/testdata/publish/eng">Options Indexes FollowSymlinks MultiViewsAllowOverride NoneOrder allow,denyAllow from all</Directory>Alias /zx/ "/ftpdata/applications/zx/"<Directory "/testdata/publish/zx">Options Indexes FollowSymlinks MultiViewsAllowOverride NoneOrder allow,denyAllow from all</Directory>上面是一些alias的设置，大意是说当访问到/ftpdata/applications/eng/ 这个目录的时候，指向/testdata/publish/eng 这个目录。

但是这样还是没有8080端口的绝对路径啊。

于是我猜了一个。

是真的猜了一个。

/ftpdata/applications试试，又被我猜对了。

我运气还不是一般的好。

于是。

先下载WEB-INF下的web.xml文件看看:8080/cms/web/downloadFiles.jsp?file=/ftpdata/applications/cms/WE B-INF/web.xml打开看了看，没有数据库连接信息，那应该是在class文件中了。