jsp+mysql+resin某站渗透过程

初步看了一下，jsp+mysql架设，很容易的找到了一个注入点：http://www.91ri.org/ showNews.do?action_flag=get&news_id=5796

获得mysql的root密码为123321（cmd5太黑了，这都收费）,telnet 了一下，mysql不能外连。

CAB6CCCFAA4F9B2297B359AE934B6EC1  zhangguishu-123

3C1CEFC8A3E3E190CFB98B63C0A493C6   linmengjian8018

扫目录直接找到fck编辑器，http://www.91ri.org /fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector 但是无法利用。

发现几乎所有的目录都可以列出目录。用后面的那个帐号登陆是管理员，添加内容处有两个上传，都自动重命名，其中一个传视频的可以上传asa格式的文件，本以为到这里基本就拿到webshell了，谁知道上传后找不到路径。

最后在前台一个有视频的页面查看源文件找到路径。然而….asa直接以文本打开了…不解析啊。然后随便找个页面报错才发现，服务器是Resin-3.0.14的解析器。

好吧，换个思路，反正mysql是root权限，试试写文件吧。写文件需要知道绝对路径和magic_quotes_gpc()=OFF，但是怎么 报错都不出路径。后来想到可以根据解析器去找web路径，resin的配置文件中有web路径，可以尝试resin默认安装路径找到配置文件。

c:/Resin-3.0.14/conf/resin.conf

d:/Resin-3.0.14/conf/resin.conf

e:/Resin-3.0.14/conf/resin.conf

f:/Resin-3.0.14/conf/resin.conf

c:/Resin/conf/resin.conf

d:/Resin/conf/resin.conf

e:/Resin/conf/resin.conf

f:/Resin/conf/resin.conf

用穿山甲猜了一下resin的安装路径，读取D:/Resin-3.0.14/conf/resin.conf，在末尾处有web路径。

继续使用穿山甲，写入jsp一句话后门，拿连接器连上，传上一个大马，getshell成功。

Cmd执行，whoami，居然是管理员权限，直接net user、net localgroup了。Ipconfig发现是内网，netstat -an发现3389已经开启。

上传lcx，转发一下端口，然而本地收到了返回

但是连接的时候并没有成功，数据也没有进行交换，开始以为是杀软关系，tasklist看了一下存在瑞星和麦咖 啡，taskkill /im XX.EXE /F 直接搞定进程，net start 也没发现安全软件相关进程，顺便也在注册表对3389端口的限制 去除了，但是也依然没有连接上，人品问题。反正都是拿服务器，于是上个木马，打完手工！

91ri.org点评:其实本文没有太多技术含量，jsp的网站大家会接触的比较少，转来让大家学习下对付jsp网站的思路。个人认为唯一亮点是使用taskkill /im XX.EXE /F  方法kill进程。（经91ri.org测试 此方法可杀麦咖啡进程 5次后麦咖啡即不会再启动）。

本文转自作者kylin首发法克论坛 由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。