作者:小乳酸,转载于公众号网络安全之旅。
0x01 前言
现在spingboot的站点越来越多,在测试spingBoot未授权时,百分之九十的人看到只有actuator/health和actuator/info时,都会视若无睹。然而在一次日常漏洞挖掘过程中,我看到了不一样的actuator/health泄露,进一步拿下了服务器权限。
0x02 漏洞背景
一次众测活动,授权对目标子域进行渗透,我们称目标为target.com。
0x03 漏洞挖掘过程
使用theHarvester对其进行子域名收集,发现了一个后台登陆的系统,称它为qwq.target.com,指纹为spingboot。登录抓包,抓取登录的url,url为https://qwq.target.com/common/login。使用dirsearch对其接口进行目录探测,字典为spingboot专用字典。发现actuator/health和actuator/info对外暴露。大多数的actuator/health为下图内容:
然而这次的actuator/health为下图所示:
关注一下services下面的十四个参数,通过观察,我从这十四个参数中发现common,没错,登录的接口恰好就是这个参数。
OK,奇怪的想法诞生了,将这十四个参数构造成字典,使用Wfuzz对https://qwq.target.com/FUZZ/actuator/env进行探测,庆幸的是在message-api/actuator/env中返回了200状态码。至此,spingboot未授权已经可以提交报告了。
然而在后续的渗透中,在使用burp对https://qwq.target.com/common/进行目录探测时,发现logout返回报文中,发现了rememberMe=deleteMe字段。没错,这个系统竟然是shiro框架。
下载heapdump文件进行分析,我们使用jvisualvm进行分析,将下载heapdump文件导入到jvisualvm,搜索字段rememberme。
我们得到了一串数字,使用脚本将其转换为明文key。
成功命令执行。
0x04 厂商反馈
这个漏洞也获得了项目的最高奖金,但是这个思路为我在日后的漏洞挖掘中提供了不少灵感。
0x05 总结
1、发现与往常不一样的点要格外关注。
2、指纹识别最好能带上目录。
3、多观察,多尝试。
加个好友进渗透技术交流群
请备注:进群
推荐阅读
好文推荐
原文始发于微信公众号(乌雲安全):实战|由actuator/health泄露导致的RCE
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论