实战|一次有趣的客户端RCE+服务端XXE挖掘

admin 2022年6月10日09:43:31评论172 views字数 1242阅读4分8秒阅读模式
作者:J0o1ey原文:https://www.cnblogs.com/J0o1ey/p/15717362.html

起因

朋友给某甲方做渗透测试,奈何甲方是某知名保险,系统太耐艹,半天不出货

兄弟喊我来一块来看,于是有了本文

客户端RCE一处

朋友把靶标发给我看了下,除了两个下载链接啥也没有

实战|一次有趣的客户端RCE+服务端XXE挖掘

链接下载下来的东西如图,看了下目录里面还有JRE,那么很显然,这客户端exe就是个JAVA启动命令执行套壳

实战|一次有趣的客户端RCE+服务端XXE挖掘

随后打开program文件夹,逆了一下里面的Jar

full_path前面定义为用户更新时输入的路径

实战|一次有趣的客户端RCE+服务端XXE挖掘


那么很简单了full_path可控,诱导用户安装更新时路径出输入注入命令即可


D:software  && ping hacker's IP


实战|一次有趣的客户端RCE+服务端XXE挖掘


发现Webservice Soap接口

光这一个水来的客户端RCE肯定是不够的,接下来继续挖掘服务端

看了看没别的功能点,我就简单FUZZ了一下这个系统三级目录

实战|一次有趣的客户端RCE+服务端XXE挖掘


最后FUZZ出来了一个webservice接口

http://****.xxxxxx.cn/xxxx/service


实战|一次有趣的客户端RCE+服务端XXE挖掘

拼接出其wsdl接口

http://****.xxxxxx.cn/xxxx/service/BusinessService?wsdl

但导入SoapUI或AWVS的调试模块进行调试时却发现其导入失败

实战|一次有趣的客户端RCE+服务端XXE挖掘


仔细看了下WSDL返回的信息。。。妈的WSDL Import Location和Soap Address Location都是内网域名

实战|一次有趣的客户端RCE+服务端XXE挖掘

不过幸运的是,该系统的外网域名拼接路径后也可以访问到这个WSDL接口

但是自动化的Soap接口调试工具是“看见什么就import什么”,这可让人犯了难


导入SoapUI

思考了一会,突然想起来BurpSuite可以把RequestBody和ResponseBody的值进行替换,hhh


那我们就有办法导入了


在Burpsuite的Porxy Option中增加Match&Replace规则


将WSDL Import Location和Soap Address Location处对应的内网域名都替换为外网域名

实战|一次有趣的客户端RCE+服务端XXE挖掘

随后在SoapUI中设置Proxy

实战|一次有趣的客户端RCE+服务端XXE挖掘

打开代理,再次添加WSDL,ResponseBody的内网域名成功被替换,WSDL导入成功~

实战|一次有趣的客户端RCE+服务端XXE挖掘


XXE挖掘

导入接口后,发现有参数为dataXML,心中暗喜XXE估计是送上门了

实战|一次有趣的客户端RCE+服务端XXE挖掘

直接BurpSuite中利用XXE OOB测试

实战|一次有趣的客户端RCE+服务端XXE挖掘

OOB成功,XXE到手,收摊~

实战|一次有趣的客户端RCE+服务端XXE挖掘

 总结

坚持一下,守得云开见月明,漏洞就在眼前~


实战|一次有趣的客户端RCE+服务端XXE挖掘


实战|一次有趣的客户端RCE+服务端XXE挖掘

推荐阅读   

【入门教程】常见的Web漏洞--XSS

【入门教程】常见的Web漏洞--SQL注入

sql注入--入门到进阶

短信验证码安全常见逻辑漏洞

最全常见Web安全漏洞总结及推荐解决方案

常见的Web应用的漏洞总结(原理、危害、防御)

代码审计常见漏洞总结

Web安全漏洞的靶场演示

13 款 Linux 比较实用的工具

xss攻击、绕过最全总结


实战|一次有趣的客户端RCE+服务端XXE挖掘

   学习更多技术,关注我:   

觉得文章不错给点个‘再看’吧

原文始发于微信公众号(编码安全研究):实战|一次有趣的客户端RCE+服务端XXE挖掘

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月10日09:43:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战|一次有趣的客户端RCE+服务端XXE挖掘http://cn-sec.com/archives/1097611.html

发表评论

匿名网友 填写信息