『红蓝对抗』Druid 未授权访问漏洞利用

日期：2022-08-15

作者：Corl

介绍：介绍Druid未授权访问漏洞并进行实战漏洞利用。

0x00 前言

这两天在搞站时，碰到一个Druid未授权访问漏洞，自己闲着也没事干，想着不如碰碰运气，说不定能直接拿Session进后台，还说不定还能拿个shell呢。没想到运气爆棚，真的拿到了管理员的Session，进入了后台，但是最终没拿到shell，有点可惜。接下来，请看漏洞简介和实战操作。

0x01 Druid背景介绍

Druid是阿里巴巴数据库出品的，为监控而生的数据库连接池，并且Druid提供的监控功能，监控SQL的执行时间、监控Web URI的请求、Session监控，首先Druid是不存在什么漏洞的，但当开发者配置不当时就可能造成未授权访问。

0x02 漏洞详情

无论是在攻防时，还是在提交SRC时，提交Druid未授权访问漏洞只能算是个低危进行处理，那么怎么通过Druid未授权访问拿到更大的战果呢？

在利用时，需要用到两个界面的信息，分别是/druid/weburi.html和/druid/websession.html。/druid/weburi.html界面会保存系统中存在的目录和接口信息，/druid/websession.html界面会保存所有的Session信息，包括创建时间、最后访问时间、访问IP地址等信息。

Druid未授权访问路径，并不都是位于网站根目录下，有的会在二级目录下，在利用时，需要根据真实环境进行路径拼接，常用Druid未授权访问路径：

/druid/index.html                                    #首页/druid/datasource.html                                #数据源/druid/sql.html                                        #SQL监控/druid/wall.html                                    #SQL防火墙/druid/webapp.html                                    #Web应用/druid/weburi.html                                    #URI监控/druid/websession.html                                #Session监控/druid/spring.html                                    #spring监控/druid/api.html                                        #JSON API

0x03 漏洞实战操作

3.1 制作session字典

（1）访问/druid/websession.html界面，可以看到存在很多Session，直接全部选中页面全部内容，进行复制。

（2）将复制的内容到Excel中进行粘贴，直接拉到Excel最底部，选择今天日期的全部Session进行复制。

（3）将复制的Session粘贴到txt中，作为字典。

3.2 确定一个后台目录

访问/druid/weburi.html界面，页面中存在很多目录信息，但并不是所有的目录均可以访问到，也并不一定为后台目录，一定要多次尝试。经过多次尝试，最终确定index目录为后台目录。

3.3 使用burp进行爆破session

（1）访问index界面，使用burp抓包，对Session进行爆破，在爆破结果中只存在一条状态为200的，其余全为302。

（2）复制状态为200的Session，这里使用google里面的EditThisCookie工具，替换掉原来的Session，保存即可，并在url中加入后台目录。

（3）刷新界面，成功进入后台。

0x04 总结

该漏洞利用比较简单，但是在利用时，运气也是占非常大的成分。只有当用户在线时，才可以拿到有效的Session进行利用，要不然拿着一堆过期的Session是没有任何作用的。在利用时可以根据时间点进行利用，比如上班时间，肯定会有大量用户进行登录，这样可能利用成功的可能性是比较大的。