记一次对某客户端的安全测试

素颜马尾好姑娘i 2024-04-07 10:39 63阅读 0赞

### **0x00 起因** ###

此次接到的项目是对某客户端进行安全测试。之前的工作内容除了偶尔测测 App 之外，大部分的测试目标还是以 B/S 架构的 Web 为主，这是第一次对 C/S 架构的客户端进行测试，所以也是两眼一抹黑，只能先按照测 Web 的常规思路来了。

### **0x01 抓包** ###

##  ##

首先查看目标客户端是否存在代理配置功能(大多数没有)

[![b784cf4fa991ae66cb561eb09cb65dc9.png][]][b784cf4fa991ae66cb561eb09cb65dc9.png 1]

可以看到只有个简单的登录功能，并无代理配置功能

#### Proxifier + BurpSuite ####

查看 BurpSuite 中配置的代理地址及端口

[![cb341aeb83986a90b6d31c3854bded9f.png][]][cb341aeb83986a90b6d31c3854bded9f.png 1]

在 Proxifier 中添加代理服务器(ip、port 为 BurpSuite 中配置的代理地址及端口)

[![3162ba4204253c36ba5155e25eff2d4e.png][]][3162ba4204253c36ba5155e25eff2d4e.png 1]

配置好后，进行检查，测试与 BurpSuite 的连通性(BurpSuite 中有流量即为成功连通)

[![77e9b7ecc1583d4f7a21955c41acd260.png][]][77e9b7ecc1583d4f7a21955c41acd260.png 1]

在 Proxifier 中添加代理规则

[![a32773d4ad01ec1b2c4912e23893fa56.png][]][a32773d4ad01ec1b2c4912e23893fa56.png 1]

BurpSuite 成功拦截到客户端的登录请求

[![f0026f14d7064c767ca021f606062c50.png][]][f0026f14d7064c767ca021f606062c50.png 1]

### 0x02 数据包分析 ###

成功拦截到数据包之后，便打算对其进行分析，结果一看就绝望了，请求包跟响应包均被加密

[![faee4caac63aacbf788e2f1ce20ef68d.png][]][faee4caac63aacbf788e2f1ce20ef68d.png 1]

[![9501939dc51a1ec3266dd58f643e0272.png][]][9501939dc51a1ec3266dd58f643e0272.png 1]

#### 尝试 Web 访问 ####

之前测 App 时遇到过手机端流量被加密但 PC 端未加密的情况，遂复制请求链接尝试 Web 访问，并未获取到有效信息

[![a546c3a950164d6b1d8e8145dd616798.png][]][a546c3a950164d6b1d8e8145dd616798.png 1]

由于该客户端内相关功能的请求参数均以 POST 方式传输，流量均被加密，所以暂时放弃，转变思路打算从服务器入手

### 0x03 柳暗花明 ###

**WebSphere**

对目标服务器进行端口扫描，发现开放的端口还挺多，9043、9060分别为 WebSphere 默认的管理控制台安全端口、管理控制台端口

[![d164e8ea1642d85f72e83e864f183c05.png][]][d164e8ea1642d85f72e83e864f183c05.png 1]

默认登录地址为 /ibm/console，此处用默认的用户标识 admin 成功登录

[![4d097ecb596837ced6cd2edd446964c0.png][]][4d097ecb596837ced6cd2edd446964c0.png 1]

#### 一波三折 ####

##### 更换 jsp 文件内容 #####

按理说成功进入 WebSphere 管理控制台，拿到 shell 只是顺理成章的事情，但是事情远没有我想象中的那么容易，首先使用之前打好的 war 包进行上传

[![d1cdd1051c256db05545bfcd0ca5b912.png][]][d1cdd1051c256db05545bfcd0ca5b912.png 1]

选择 war 包，填好上下文之后报错

[![d56888c00a88c57e53d7db05c5356256.png][]][d56888c00a88c57e53d7db05c5356256.png 1]

> 关于这个报错，我上网搜索了好久最终汇总了几种原因以及解决方案，分别是重启 WebSphere、war 包中包含的文件内容格式有误、打 war 包时所用的 jdk 与目标 WebSphere 的 jdk 版本不一致、修改一些 WebSphere 的配置文件。

将 war 包中的 jsp 文件内容修改为打印字符串(无害内容)，重新打包后上传，依旧报错

##### 更换 jdk 版本 #####

从前面抓取到的数据包中可知目标使用的 jdk 版本为 1.5.0\_21，遂下载对应版本的 jdk 使用 jar 命令对无害 jsp 文件打 war 包后上传，依旧报错

[![37b3e00a3f7bd02f183e5393214898e0.png][]][37b3e00a3f7bd02f183e5393214898e0.png 1]

[![c032e1ccbf635c58e8813b0fba484562.png][]][c032e1ccbf635c58e8813b0fba484562.png 1]

##### **Myeclipse 构造 war 文件** #####

> 通过此前的多次尝试均未解决这个报错，于是卡在这个步骤上好久，最后通过查阅[资料][Link 1]得知，WebSphere 6.x 版本默认支持的 Web 应用是2.3(web.xml 配置的 web-app\_2\_3.dtd)，所以选择使用 Myeclipse 来生成 war 文件

Myeclipse 新建 web 项目

将 jsp 文件放至 WebRoot 目录下

导出项目为 war 文件

[![23f5d30469619b3f28bd1bcfd3727a89.png][]][23f5d30469619b3f28bd1bcfd3727a89.png 1]

[![507b27dabfacdc8709aaa28dd1db64c3.png][]][507b27dabfacdc8709aaa28dd1db64c3.png 1]

生成的 war 文件目录结构如下

[![014a040462695daad575df5b9e8adf4b.png][]][014a040462695daad575df5b9e8adf4b.png 1]

选择生成的 war 文件并填写上下文进行上传

[![e215be13833514bbf8f928c6f5d67515.png][]][e215be13833514bbf8f928c6f5d67515.png 1]

步骤 1-4 无需操作，点击下一步

步骤 5 点击完成后，记得选择保存到主配置

[![5f2be9c4bf57c3338cba1bc6be44737f.png][]][5f2be9c4bf57c3338cba1bc6be44737f.png 1]

安装完成后应用程序状态为已停止，点击启动即可成功启动

[![fdb0c55851918c816eacf941e07ed264.png][]][fdb0c55851918c816eacf941e07ed264.png 1]

[![2ee134dabf833a381926f703fc634bc9.png][]][2ee134dabf833a381926f703fc634bc9.png 1] [![fa360350a441d63ff058a60647d08cda.png][]][fa360350a441d63ff058a60647d08cda.png 1]

### 0x04 总结 ###

> jsp 文件需使用 Godzilla 生成的 webshell，刚开始使用 Behinder v3.11生成的马，虽然可以上传成功，但是会提示页面存在，无法获取密钥，猜测可能与目标 jdk 版本过低有关，具体原因不明。
> 
> 1.先分别设置bp和proxififter的代理端口为127.0.0.1 8081 ，并将目标客服端的软件添加到proxififter中，并对其抓包
> 
> ，发现目标传输的post数据包已进行加密，显示的JDK为1.5.0-21。
> 
> 2.对客服端软件的IP进行端口扫描，发现开放了9043、9060以及WebSphere 服务端口
> 
> 3.访问WebSphere后台(/ibm/console),输入用户名admin/admin可进入系统,且版本为6.x
> 
> 4.这里通过Godzilla 的生成的一句话木马，制作成war包(自应用程序-企业应用程序-安装-新应用程序的路径-本地文件系统-选择WAr包)
> 
> 5.上传WAR包显示错误，出现错误的原因如下：
> 
> 需要重启 WebSphere
> 
> war 包中包含的文件内容格式有误需要修改
> 
> 打 war 包时所用的 jdk 与目标 WebSphere 的 jdk 版本不一致
> 
> 修改一些 WebSphere 的配置文件
> 
> 5.这里在本地安装jdk1.5版本，然后通过jar命令将war包进行修改,并上传waf包，发现还是不能运行
> 
> jar -cvf time.war time.jsp
> 
> 6.WebSphere 6.x 版本默认支持的 Web 应用是2.3(web.xml 配置的 web-app\_2\_3.dtd)，所以选择使用 Myeclipse 来生成 war 文件：
> 
> new --web project-project name(getshell)-将Godzilla生成一句话拖入到getshell项目下。然后export导出--
> 
> java EE --war file--导出getshell.war包
> 
> 7.getshell.war包可直接上传
> 
> (自应用程序-企业应用程序-安装-新应用程序的路径-本地文件系统-选择WAr包，以及上下文根(test目录))
> 
> 8.然后保存配置，并启动。
> 
> 最终访问：
> 
> [http://www.xxx.com/test/getshell.jsp][http_www.xxx.com_test_getshell.jsp]

> 原文链接： [https://xz.aliyun.com/t/10253][https_xz.aliyun.com_t_10253]

[b784cf4fa991ae66cb561eb09cb65dc9.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/9fce0761c3f14164827010f92de40d7c.png
[b784cf4fa991ae66cb561eb09cb65dc9.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195138-f407bb5e-1488-1.jpg
[cb341aeb83986a90b6d31c3854bded9f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/c8ffa87bf3434d558f7bf1ad56858f11.png
[cb341aeb83986a90b6d31c3854bded9f.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195155-fe5d5410-1488-1.jpg
[3162ba4204253c36ba5155e25eff2d4e.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/9a774ce6e3ee40e3ac6d853484ee4ec0.png
[3162ba4204253c36ba5155e25eff2d4e.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195208-05af9c50-1489-1.jpg
[77e9b7ecc1583d4f7a21955c41acd260.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/bfa29b934e7747b8aaff3917cdcebf76.png
[77e9b7ecc1583d4f7a21955c41acd260.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195219-0c5ecd46-1489-1.jpg
[a32773d4ad01ec1b2c4912e23893fa56.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/6fd754e12e834a12b43e5fbf384ba3ce.png
[a32773d4ad01ec1b2c4912e23893fa56.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195233-14f84676-1489-1.jpg
[f0026f14d7064c767ca021f606062c50.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/3382dbe17fc04c3fb3d3ef8e2360478f.png
[f0026f14d7064c767ca021f606062c50.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195246-1c705cc2-1489-1.jpg
[faee4caac63aacbf788e2f1ce20ef68d.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/8fb7d31c7d8f4b3f9980e85075606f21.png
[faee4caac63aacbf788e2f1ce20ef68d.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195257-236c7006-1489-1.jpg
[9501939dc51a1ec3266dd58f643e0272.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/eafdb84c18764e4d87edcdafd1c8d95d.png
[9501939dc51a1ec3266dd58f643e0272.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195311-2b4a0752-1489-1.jpg
[a546c3a950164d6b1d8e8145dd616798.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/bca66cba527b44c085ec27906beae091.png
[a546c3a950164d6b1d8e8145dd616798.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195322-325f09fc-1489-1.jpg
[d164e8ea1642d85f72e83e864f183c05.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/0da707a5c1b64fdf8921fa1a003b9042.png
[d164e8ea1642d85f72e83e864f183c05.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195335-39d96c90-1489-1.jpg
[4d097ecb596837ced6cd2edd446964c0.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/667ea42d60fa49b0a956633ff96e5cd9.png
[4d097ecb596837ced6cd2edd446964c0.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195348-4182eeee-1489-1.jpg
[d1cdd1051c256db05545bfcd0ca5b912.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/e94d9f80522f4152aafd9638e5985b19.png
[d1cdd1051c256db05545bfcd0ca5b912.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195402-49af90cc-1489-1.jpg
[d56888c00a88c57e53d7db05c5356256.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/8ae8ad95a7bf4e3b99d2843aa90339af.png
[d56888c00a88c57e53d7db05c5356256.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195413-50b84382-1489-1.jpg
[37b3e00a3f7bd02f183e5393214898e0.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/1b60b03c76734e05a3a84e42a6be67ae.png
[37b3e00a3f7bd02f183e5393214898e0.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195424-57525070-1489-1.jpg
[c032e1ccbf635c58e8813b0fba484562.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/689408222b444dff84af8f96e25bf7ab.png
[c032e1ccbf635c58e8813b0fba484562.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195438-5f901ce0-1489-1.jpg
[Link 1]: https://xz.aliyun.com/t/280#toc-26
[23f5d30469619b3f28bd1bcfd3727a89.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/64f700375b8946b4b934b8ad9a2bed29.png
[23f5d30469619b3f28bd1bcfd3727a89.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195451-6711803a-1489-1.jpg
[507b27dabfacdc8709aaa28dd1db64c3.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/528afac6496d46cc9987f4246c5529d6.png
[507b27dabfacdc8709aaa28dd1db64c3.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195509-72033d9e-1489-1.jpg
[014a040462695daad575df5b9e8adf4b.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/760af837dd604f7a8aee1cf48da53c1c.png
[014a040462695daad575df5b9e8adf4b.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195523-7a1b8522-1489-1.jpg
[e215be13833514bbf8f928c6f5d67515.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/86c5b4d80cb145a7be52e76b9056e650.png
[e215be13833514bbf8f928c6f5d67515.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195536-81ec2a04-1489-1.jpg
[5f2be9c4bf57c3338cba1bc6be44737f.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/04c365ae0c244ae8812edfa7dc5a08c1.png
[5f2be9c4bf57c3338cba1bc6be44737f.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195552-8b4bc0f0-1489-1.jpg
[fdb0c55851918c816eacf941e07ed264.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/420349d0f1354a60b9337fea37fdd816.png
[fdb0c55851918c816eacf941e07ed264.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195602-91680138-1489-1.jpg
[2ee134dabf833a381926f703fc634bc9.png]: https://img-blog.csdnimg.cn/img_convert/2ee134dabf833a381926f703fc634bc9.png
[2ee134dabf833a381926f703fc634bc9.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195613-97c32dc8-1489-1.jpg
[fa360350a441d63ff058a60647d08cda.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/04/07/3361911eef1046e380aae978f32d10fd.png
[fa360350a441d63ff058a60647d08cda.png 1]: https://xzfile.aliyuncs.com/media/upload/picture/20210913195623-9df2ac78-1489-1.jpg
[http_www.xxx.com_test_getshell.jsp]: http://www.xxx.com/test/getshell.jsp
[https_xz.aliyun.com_t_10253]: https://xz.aliyun.com/t/10253