亡羊补牢,记一次演练后风险排查

admin 2023年2月24日11:00:07评论27 views字数 1675阅读5分35秒阅读模式
亡羊补牢,记一次演练后风险排查
泛星安全团队
亡羊补牢,记一次演练后风险排查

泛星安全团队第10篇文章




声明

文章内容为学习记录,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。



亡羊补牢,记一次演练后风险排查
背景
亡羊补牢,记一次演练后风险排查


客户那边外网一个子域名业务被通报,之前针对官网的业务做过渗透,客户现在需求针对外网所有域名资产做个渗透测试风险排查,从客户那了解到被通报的业务漏洞是shiro反序列化,所有域名解析的服务器都放在阿里云上面。

客户把我和软件三方运维拉了个wx群,和软件三方运维确认下哪些还在用的业务梳理出对应资产表,客户本地网络对外映射除了个vpn其他业务都是做了IP访问限制的,重点关注阿里云上的业务。

又跟软件三方运维对了下情况,通报之前收到阿里云shiro反序列化告警做了一次版本升级,版本是升级到最新的1.9了,测试了下被通报业务已经没有这个漏洞了,了解完情况跟软件三方运维要了一份域名解析表开始干活。



亡羊补牢,记一次演练后风险排查
风险排查
亡羊补牢,记一次演练后风险排查


看了下几个站点,没发现什么有用的信息,oa系统是客户那边自己开发的系统使用springboot框架没有发现路由,直接上awvs+xray先扫描一下。


爬虫扫描到shiro反序列化和springboot env信息泄露,shiro反序列化测试了下可以利用,直接拿到服务器权限。


shiro利用


亡羊补牢,记一次演练后风险排查


跟软件三方运维对了下只升级了版本,没有修改key。


亡羊补牢,记一次演练后风险排查


修改key之后没有检测出漏洞


亡羊补牢,记一次演练后风险排查


shiro漏洞利用可以看bypass师傅文章

https://mp.weixin.qq.com/s/Su5VwfynSVx-PEPxSR_6iw

https://mp.weixin.qq.com/s/oiCtZph7wGMXzQ1tvHhiXQ


springboot env未授权


springboot env这个也是常见的高危漏洞,前几天看红队之夜PPT正好也学习了一波姿势,直接上手实战一波,感兴趣的可以去网上找下这个PPT《红队实战攻防技术 · 聚变-风起》


github上面也有一个项目针对springboot漏洞做了一个整理可以学习一波

项目地址:https://github.com/LandGrey/SpringBootVulExploit


访问/actuator/configprops路由看到有阿里云的key,尝试访问/actuator/heapdump路由下载下来去一波星号


heapdump_tool工具

项目地址:https://github.com/wyzxxz/heapdump_tool


heapdump_tool环境准备


工具需要java的jhat环境,电脑上的java没有装jhat,直接拉个java官方docker镜像文件拷贝进去分析。


# 环境准备
docker pull openjdk:8u92-jdk-alpine
docker run -itd openjdk:8u92-jdk-alpine /bin/sh
docker cp /heapdump 1d71:/
# heapdump工具使用
java -jar heapdump_tool.jar heapdump
# 启动之后会有出现提示让你输入你需要查找的key或指定长度字符


获取到了一波密码和key,没有阿里ak/sk


亡羊补牢,记一次演练后风险排查


进一步利用


这里拿到了redis密码很可惜redis端口限制了访问,已经获取到了服务器权限,这次渗透的目的是为了发现更多域名资产问题,攻防场景的话可以到服务器redis里面找阿里云key直接拿到阿里云所有服务器权限。


继续水漏洞交差,看了下springboot其它姿势。

  • spring cloud SnakeYAML RCE版本太高了

  • eureka xstream deserialization RCE 版本太高了

  • /restart 路由返回404访问不了


亡羊补牢,记一次演练后风险排查


重新翻了下其它域名的资产没啥收获,搞不动了就这样吧,漏洞反馈给软件三方运维,修复的速度还是挺快的,复测完没问题整理报告。


往期回顾

从sql注入到内网

HackTheBox:10.10.10.180靶机记录

回炉重造 | 精通php反序列化之道

windows api隐藏结合进程篡改


·END·
 


泛星安全团队

亡羊补牢,记一次演练后风险排查


原文始发于微信公众号(泛星安全团队):亡羊补牢,记一次演练后风险排查

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月24日11:00:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   亡羊补牢,记一次演练后风险排查https://cn-sec.com/archives/1266409.html

发表评论

匿名网友 填写信息