文章来源 :HACK学习呀
0x01 起因
朋友给某甲方做渗透测试,奈何甲方是某知名保险,系统太耐艹,半天不出货
兄弟喊我来一块来看,于是有了本文
0x02 客户端RCE一处
朋友把靶标发给我看了下,除了两个下载链接啥也没有
链接下载下来的东西如图,看了下目录里面还有JRE,那么很显然,这客户端exe就是个JAVA启动命令执行套壳
随后打开program文件夹,逆了一下里面的Jar
full_path前面定义为用户更新时输入的路径
那么很简单了full_path可控,诱导用户安装更新时路径出输入注入命令即可
D:software && ping hacker's IP
0x03 发现Webservice Soap接口
光这一个水来的客户端RCE肯定是不够的,接下来继续挖掘服务端
看了看没别的功能点,我就简单FUZZ了一下这个系统三级目录
最后FUZZ出来了一个webservice接口
http://****.xxxxxx.cn/xxxx/service
拼接出其wsdl接口
http://****.xxxxxx.cn/xxxx/service/BusinessService?wsdl
但导入SoapUI或AWVS的调试模块进行调试时却发现其导入失败
仔细看了下WSDL返回的信息。。。妈的WSDL Import Location和Soap Address Location都是内网域名
不过幸运的是,该系统的外网域名拼接路径后也可以访问到这个WSDL接口
但是自动化的Soap接口调试工具是“看见什么就import什么”,这可让人犯了难
0x04导入SoapUI
思考了一会,突然想起来BurpSuite可以把RequestBody和ResponseBody的值进行替换,hhh,那我们就有办法导入了
在Burpsuite的Porxy Option中增加Match&Replace规则
将WSDL Import Location和Soap Address Location处对应的内网域名都替换为外网域名
随后在SoapUI中设置Proxy
打开代理,再次添加WSDL,ResponseBody的内网域名成功被替换,WSDL导入成功~
0x05 XXE挖掘
导入接口后,发现有参数为dataXML,心中暗喜XXE估计是送上门了
直接BurpSuite中利用XXE OOB测试
OOB成功,XXE到手,收摊~
0x06 总结
坚持一下,守得云开见月明,漏洞就在眼前~
侵权请私聊公众号删文
【往期推荐】
【超详细 | Python】CS免杀-Shellcode Loader原理(python)
【超详细 | 钟馗之眼】ZoomEye-python命令行的使用
【超详细 | 附EXP】Weblogic CVE-2021-2394 RCE漏洞复现
【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现
【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现
【漏洞分析 | 附EXP】CVE-2021-21985 VMware vCenter Server 远程代码执行漏洞
【CNVD-2021-30167 | 附PoC】用友NC BeanShell远程代码执行漏洞复现
【奇淫巧技】如何成为一个合格的“FOFA”工程师
【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】
【漏洞速递+检测脚本 | CVE-2021-49104】泛微E-Office任意文件上传漏洞
走过路过的大佬们留个关注再走呗
往期文章有彩蛋哦
一如既往的学习,一如既往的整理,一如即往的分享
“如侵权请私聊公众号删文”
原文始发于微信公众号(渗透Xiao白帽):分享 | 记一次有趣的客户端RCE+服务端XXE挖掘
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论