靠着任意文件读取下载了几个war包,部署到自己搭建的tomcat下进行查看。
基本上几个war包都大致差不多。猜测:系统使用war包部署到tomcat,一个war包对应一个域名。
ftpimage账号密码
在config.properties配置文件中发现了ftpimage账户密码,以及该war包所对应的域名。
比如run.war包。
一般配置文件都存放在/WEB-INF/classes/这个文件夹下。
记录着ftpimage账户的用户名密码
ip.imgservice这个属性也看得出,上传的图片都会在image.xx.com.cn这个域名下。
放弃axis2框架
有些war包里存在axis2框架
找到对应的域名访问axis2-web
如果可以上传arr木马就美滋滋了,但多次上传均404。
查找资料,发现axis2框架的正确结构是这个样子的。
猜测axis2框架应该无法使用,遂放弃。
放弃提权之前获取到的ftpimage账号密码登录阿里云,发现权限特别低。只有www、var文件夹可读可写可执行的权限。但也能看到nginx、redis文件夹。
执行了几条提权命令也都不行,考虑到阿里云服务器,遂放弃。
33个域名看到nginx文件夹,想到读取nginx.conf配置文件。
统计大概有33个域名,而且看到nginx统一设置了白名单,均image.xxx.com.cn这个域名解析。验证了之前的猜测。