文章总结： 本文记录了一次渗透测试实战，面对IP空白页面，通过全端口扫描发现18个站点。利用若依系统上传接口漏洞和乾润报表任意文件读取漏洞，成功获取服务器权限。建议在常规扫描失效时采用全端口探测，并关注接口提取与历史漏洞利用，以提升渗透效率。 综合评分： 87 文章分类： 渗透测试,WEB安全,漏洞分析,红队,内网渗透

1 + shell = 18 web

原创

private null private null

轩公子谈技术

2026年3月2日 19:06 江苏

故事背景

接手某局的渗透测试任务，资产表上只写着一个平台名和一个孤零零的 IP。可当我满怀期待地访问这个 IP 时，迎接我的却是空白页面——打不开。目录扫描？依然毫无收获。那一刻，我仿佛在睡梦中摸索，四周一片漆黑。难道我要托梦给客户，告诉他：“渗透测试结束，系统非常安全”？别开玩笑了，这种报告交上去，怕不是要被当成“梦中渗透”……

常规的 Web 探测手段（IP 访问、目录扫描）全部失效，意味着目标可能将服务部署在了非标准端口上。为了打破僵局，也为了证明自己不是“水货”，我果断调整思路，对目标 IP 进行了全端口扫描。而这一决定，直接促成了后续文件上传漏洞的发现——18 个站点 getshell 的故事，正是从这里开始。

我通过 Goby 全端口扫描，辅以 Hunter 和 FOFA 的资产关联，实现了全方位探测，确保每个潜在站点都被覆盖，无一漏网。

探测的第一个页面，是魔改若依

注册页面与注册接口双双 404，常规入口已封死。剩下的突破口只有两个：提取隐藏接口，或暴力扫描目录。然而经验告诉我，目录扫描大概率无功而返——必须把重心放在接口提取上。

事实证明，我对了

点击“导入”按钮，Burp Suite 抓包，意外捕获了一个前端 JS 中从未出现的上传接口。尝试上传图片，服务器竟直接返回了访问链接——这一刻，我终于摆脱了零产出的尴尬。

尝试上传 JSP 文件，却被白名单无情拦截。不过，HTML 文件居然可以上传！虽然暂时拿不到 shell，但能植入恶意 HTML 页面，同样构成严重的安全隐患

第二个页面访问 404，是 tomcat 中间件

针对于这种唯一的思路就是进行目录扫描

刚好发现了一个通用的 cms，乾润报表

既然系统存在历史漏洞记录，也就不费劲去审计了。

直接尝试访问 /servlet/dataSphereServlet?action=11

——果然，任意文件读取漏洞依然健在。

目标为 Windows 系统，默认站点在 D 盘，读取文件时稍微绕了点路，但最终还是成功将关键文件收入囊中。

文件上传直接 getshell，就是本文的重点了

servlet/dataSphereServlet?action=38 上传成功

InputServlet?action=12 上传失败

这个接口有点异议，如果像常规的上传包，只给一个参数，也可以正常上传，但是解析 jsp 失败，访问报 500

因为他这个路径不是常规的，所以 poc 这里就要把 path 值直接改成 /

一句话小马报错，类什么不存在，这里需要加入

import java.io.* 相当于完善 jsp 的语法，就可以解析成功

查看了端口链接情况，开放了很多端口，发现每一个开放的端口都在 Hunter 里一一对应，刚好是 18 条记录，也对应 18 个站点。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：轩公子谈技术 private null private null《1 + shell = 18 web》