什么是Theol网络教学综合平台?

Theol网络教学综合平台是由清华大学教育技术研究所研制开发的教学综合系统,具有强大的资源分享和集成功能,为国内各大大学所广泛使用。个人推断该平台是通过整机出售,系统直接集成在出售服务器硬盘中。

Theol网络教学综合平台的构成:

服务器品牌:一般为Dell PowerEdge整机

操作系统:Redhat 5.0发行稳定版

脚本语言:Jsp(Tomcat)

数据库:Oracle

权限配置:www用户用于启动Tomcat服务,root用户用于系统管理,Oracle数据库默认以Root权限启动。其中www用户具有执行Gcc的权限。

闲话少叙,开工!

需要的工具:Winrar,Jsp木马一匹

目标:

\


点击任课教师,教师查询除填入%搜索即可得到所有平台教师的列表:

\

找到教学资源库,用搜索到的教师用户名密码进入(注:此处大家自己社工弱口令哈)如图:

\

选择上边的资源上传,本地自制一个zip压缩包,新建一个文件夹,在里面将Jsp木马命名为index.jsp,用zip压缩后上传,如图:

\

点击文件后面的编目,输入首页路径 随便输入点什么东西,在接下来的选择类别里面随便填写以下,直到出现上传成功对话框,依次点击“个人工具”—“个人资源”—“未审核”点击 Url,在浏览器中输入你在建立压缩包时嵌套的文件夹后就可以出现可爱的WebShell:

\

登陆后,提权有两种方法:

方法一,读取Oracle数据库用户密码,连接后编译Java脚本提权

方法二:登陆后发现系统版本为:

\

可以直接利用最近比较火的Linux内核溢出,丢一个上去直接Gcc就行了,反弹回来毕竟好一些哈~

漏洞原理:

不得不承认Theol这个系统写的安全性和高效性都是非常优秀的,在上传的地方坐了一些限制,但是,由于其上传功能过于强大,自动解压后释放Jsp木马文 件可以利用Tomcat对index.jsp文件在Url不显示文件名的特性绕过系统对上传文件夹Url后缀的检测跳转,进而得到我们可爱的 WebShell。

漏洞危害:

Theol平台一般配置在大学教务处的同个C段中,马上期末考试了,大家没事在Linux跑个嗅探还是真的不错哈~

进而导致同C段主机各种沦陷。

漏洞修补:

由于Tomcat不能直接设置上传目录不能执行Jsp,加一层nginx或者Apache便可以设置上传目录没有执行权限。禁止www用户调用Gcc

漏洞反思:

作为一个程序员,系统的功能不是越强大就越好,要注重实用性,功能过于冗杂反而容易导致整体安全问题而导致系统沦陷。编写一门脚本语言的同时要对服务器所使用的服务端软件有足够的了解,不仅为了兼容性,更是为了提升系统整体安全性!

雕虫小记,请勿拿来干坏事,转载注明[S.Y.C]Rdpclip原创