从任意文件下载到Getshell的渗透测试技术分析<\/h1>

漏洞发现与利用流程<\/h2>

1. 初始信息收集与漏洞发现<\/h3>

目标识别<\/strong>：发现一个无验证码保护的旧版Web页面，存在潜在安全风险<\/li>
接口探测<\/strong>：使用URLfinder工具扫描获取后台接口<\/li>

重点关注点<\/strong>：

响应内容较小的接口（可能包含敏感信息）<\/li>
响应500错误的接口（可能通过报错反推请求）<\/li> <\/ul> <\/li> <\/ul>
2. 任意文件下载漏洞利用<\/h3>

漏洞特征<\/strong>：发现文件下载接口路径可自定义<\/li>
WAF绕过<\/strong>：通过HTTPS协议绕过WAF防护<\/li>
经典测试<\/strong>：尝试..\/..\/etc\/passwd<\/code>路径遍历<\/li>
信息收集<\/strong>：读取历史命令记录(~\/.bash_history<\/code>)<\/li> 获取Web应用启动路径和日志路径<\/li> 发现lib.zip<\/code>包含应用依赖<\/li> <\/ul> <\/li> <\/ul> 3. 源码获取与分析<\/h3> 获取源码方法<\/strong>：尝试读取\/proc\/self\/cmdline<\/code>和内存映射文件（失败）<\/li> 通过restart.sh<\/code>和start.sh<\/code>脚本分析启动命令<\/li> <\/ul> <\/li> 源码分析工具<\/strong>：使用JADX反编译JAR文件<\/li> 搭建本地测试环境加载依赖<\/li> <\/ul> <\/li> <\/ul> 4. 权限绕过发现<\/h3> Burp插件检测<\/strong>：发现疑似权限绕过的接口<\/li> 验证方法<\/strong>：通过路径规范化绕过（如..;<\/code>技巧）<\/li> <\/ul> 5. JDBC注入漏洞利用<\/h3> 漏洞接口<\/strong>：发现数据库连接创建和验证的路由<\/li> 漏洞特征<\/strong>：存在DBTypeEnum<\/code>枚举，包含MySQL选项<\/li> JDBC URL部分可控<\/li> <\/ul> <\/li> 利用方法<\/strong>：构造特殊数据库名触发反序列化： midpl?&autoDeserialize=true&queryInterceptors=com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor# <\/code><\/pre> <\/li> 处理URL编码问题（?<\/code>和#<\/code>的使用）<\/li> <\/ul> <\/li> <\/ul> 6. Fastjson反序列化利用<\/h3> 发现低版本Fastjson<\/strong>：通过下载接口确认存在漏洞版本<\/li> 漏洞触发点<\/strong>：找到调用parseObject<\/code>的接口<\/li> 不出网利用<\/strong>：使用MyBatis+Bcel组合利用链<\/li> 借助Web-Chains工具生成利用代码<\/li> <\/ul> <\/li> <\/ul> 7. 文件上传尝试<\/h3> 文件服务分析<\/strong>：发现9002端口的文件操作服务<\/li> 上传接口问题<\/strong>：标准拼接和cpfile<\/code>操作，但目标环境存在未知问题<\/li> <\/ul> 关键工具与技术<\/h2> URLfinder<\/strong>：用于发现后台接口<\/li> JADX<\/strong>：Java反编译工具<\/li> Web-Chains<\/strong>：反序列化利用链生成工具 GitHub地址：https:\/\/github.com\/Java-Chains\/web-chains<\/li> <\/ul> <\/li> TsojanScan<\/strong>：Burp插件，检测权限绕过<\/li> 不出网利用技术<\/strong>：MyBatis+Bcel组合利用链<\/li> <\/ol> 防御建议<\/h2> 输入验证<\/strong>：<\/p> 严格限制文件下载路径<\/li> 过滤路径遍历字符(..\/<\/code>)<\/li> <\/ul> <\/li> 组件安全<\/strong>：<\/p> 及时升级Fastjson等易受攻击组件<\/li> 限制JDBC连接参数<\/li> <\/ul> <\/li> 配置安全<\/strong>：<\/p> 禁用不必要的Actuator端点<\/li> 限制错误信息泄露<\/li> <\/ul> <\/li> 架构安全<\/strong>：<\/p> 分离文件服务与Web服务<\/li> 实施最小权限原则<\/li> <\/ul> <\/li> <\/ol> 经验总结<\/h2> 关注异常响应<\/strong>：小响应和500错误往往包含有价值信息<\/li> 多角度验证<\/strong>：当一种方法失败时尝试其他途径（如不同协议、不同利用链）<\/li> 工具组合使用<\/strong>：自动化工具与手动分析结合提高效率<\/li> 环境差异注意<\/strong>：本地测试成功不代表目标环境可用，需考虑配置差异<\/li> <\/ol>