泛星安全团队第10篇文章
文章内容为学习记录,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
客户那边外网一个子域名业务被通报,之前针对官网的业务做过渗透,客户现在需求针对外网所有域名资产做个渗透测试风险排查,从客户那了解到被通报的业务漏洞是shiro反序列化,所有域名解析的服务器都放在阿里云上面。
客户把我和软件三方运维拉了个wx群,和软件三方运维确认下哪些还在用的业务梳理出对应资产表,客户本地网络对外映射除了个vpn其他业务都是做了IP访问限制的,重点关注阿里云上的业务。
又跟软件三方运维对了下情况,通报之前收到阿里云shiro反序列化告警做了一次版本升级,版本是升级到最新的1.9了,测试了下被通报业务已经没有这个漏洞了,了解完情况跟软件三方运维要了一份域名解析表开始干活。
看了下几个站点,没发现什么有用的信息,oa系统是客户那边自己开发的系统使用springboot框架没有发现路由,直接上awvs+xray先扫描一下。
爬虫扫描到shiro反序列化和springboot env信息泄露,shiro反序列化测试了下可以利用,直接拿到服务器权限。
shiro利用
跟软件三方运维对了下只升级了版本,没有修改key。
修改key之后没有检测出漏洞
shiro漏洞利用可以看bypass师傅文章
https://mp.weixin.qq.com/s/Su5VwfynSVx-PEPxSR_6iw
https://mp.weixin.qq.com/s/oiCtZph7wGMXzQ1tvHhiXQ
springboot env未授权
springboot env这个也是常见的高危漏洞,前几天看红队之夜PPT正好也学习了一波姿势,直接上手实战一波,感兴趣的可以去网上找下这个PPT《红队实战攻防技术 · 聚变-风起》
github上面也有一个项目针对springboot漏洞做了一个整理可以学习一波
项目地址:https://github.com/LandGrey/SpringBootVulExploit
访问/actuator/configprops路由看到有阿里云的key,尝试访问/actuator/heapdump路由下载下来去一波星号
heapdump_tool工具
项目地址:https://github.com/wyzxxz/heapdump_tool
heapdump_tool环境准备
工具需要java的jhat环境,电脑上的java没有装jhat,直接拉个java官方docker镜像文件拷贝进去分析。
# 环境准备
docker pull openjdk:8u92-jdk-alpine
docker run -itd openjdk:8u92-jdk-alpine /bin/sh
docker cp /heapdump 1d71:/
# heapdump工具使用
java -jar heapdump_tool.jar heapdump
# 启动之后会有出现提示让你输入你需要查找的key或指定长度字符
获取到了一波密码和key,没有阿里ak/sk
进一步利用
这里拿到了redis密码很可惜redis端口限制了访问,已经获取到了服务器权限,这次渗透的目的是为了发现更多域名资产问题,攻防场景的话可以到服务器redis里面找阿里云key直接拿到阿里云所有服务器权限。
继续水漏洞交差,看了下springboot其它姿势。
-
spring cloud SnakeYAML RCE版本太高了
-
eureka xstream deserialization RCE 版本太高了
-
/restart 路由返回404访问不了
重新翻了下其它域名的资产没啥收获,搞不动了就这样吧,漏洞反馈给软件三方运维,修复的速度还是挺快的,复测完没问题整理报告。
往期回顾
·END·
原文始发于微信公众号(泛星安全团队):亡羊补牢,记一次演练后风险排查
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论