某厂红队实战面试 – 靶机挑战优化

几天前，某公众号发布了一篇介绍面试北京某厂红队岗位的文章，其中提到了三个靶机题目。这让我想起两年前我也曾面试该厂，同样也遇到了这三个靶机。仅用5个小时的时间，我成功获取了所有的Shell权限。接下来，我将逐一讲解这三个靶机的攻击思路。

靶机介绍

这三个靶机分别为：tomexam考试系统、银行系统、jspxcms，都是使用java开发的系统。它们存在大量的安全漏洞，如SQL注入、越权未授权、XSS、弱口令等问题。在这里，我们只关注能够获取Shell权限的问题。

jspxcms

该系统通过弱口令登录后台，然后利用公开的nday GetShell漏洞。

在文件管理处，可以通过上传zip文件并解压来获取Shell权限。

tomexam考试系统

该系统是一个使用jsp开发的考试管理程序，在网上没有公开的漏洞。我通过弱口令登录后台后，测试了其文件上传功能点。根据上传的响应信息，发现它只允许上传图片文件。

后来，我通过百度找到了该程序2.7版本的源码，并进行了代码审计。

在获取源码后，我发现了一个postfile.jsp文件，通过对其代码进行分析，成功实现了上传jsp文件获取Shell权限的攻击。

银行系统

这套系统的获取Shell权限方式比较简单，通过任意文件下载漏洞，下载tomcat的配置文件，然后登录tomcat部署war包即可获取Shell权限。