【实操详解】一次对企业内部EHR系统的渗透测试

网安教育

培养网络安全人才

技术交流、学习咨询

对EHR系统访问时，首先是需要一个登录的，作为企业员工，大部分系统接入了SSO，该EHR系统为了保证安全性也不例外。因此对该系统的渗透测试基础的前提是————在该系统拥有一个可登录的凭据，但是该凭据并未拥有任何权限。

如下所示，正常的企业员工登录该系统时都是没有访问权限的。

那么对该类系统对其渗透的第一步必定是打开F12观察JS，发现JS目录下仅有6个JS文件

而右击源代码查看的JS里却有几十个chun-xxxxxx.js

随便打开了一个chunk-xxxxxx.js，利用插件发现存在一些路径但是在F12里搜不到，也就意味着这么多个chunk我要一个个打开看，才能够测试得比较仔细。

如下所示：

接口太多了用了，先使用一下packerFuzzer来看看是否有未授权访问

很轻松的收获了两枚任意文件上传漏洞，不过其中一个是放到minio下的，直接下载，而且是springboot的任意文件上传，利用相对局限。

开始对JS进行发现

这么多chunk-xxx.js，直接在首页使用插件来提取了一批路径，但是众所周知，该插件提取的路径其实并是完整的。

一个简单的例子如下，这个路径就没被正则匹配到，想要提取完整的还得进入一个个js里查看。

用packerFuzzer里存储的db直接拿到所有的JS的路径，当然packerfuzzer也会自动下载文本。

只能一个个对chunk-xxx.js文件进行发现，但是js文件又太多了，足足有90多个，因此写了一个简单的python脚本批量提取了一下路径

 1import json
 2import re
 3import requests
 4import sys
 5import os
 6
 7headers = {
 8    "User-Agent": "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/76.0.3809.132 Safari/537.36Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/77.0.3865.90 Safari/537.36"}
 9
10fileurl=sys.argv[1]
11
12filemkdir=fileurl.split('_')[0]
13if not os.path.exists(filemkdir):
14    os.makedirs(filemkdir)
15
16
17# 下载chunk.js
18# with open (str(fileurl)) as furl:
19#   url=furl.readlines()
20#   print(str(url)+"---is---downloading")
21#   for url in url:
22#       url=url.strip('n')
23#       file=url.split('/')[-1]
24
25#       resp = requests.get(url)
26#       html = resp.text
27
28#       with open ("./"+filemkdir+"/"+file,"a",encoding="utf-8") as f1:
29#           f1.write(html)
30
31
32
33#get path  + 路径名称
34paths=[]
35for dirpath, dirnames, filenames in os.walk('./'+filemkdir):
36for file in filenames:
37    with open("./"+filemkdir+"/"+file,"r",encoding='gb18030', errors='ignore') as f2:
38        try:
39            line=f2.readlines()
40            for line in line:
41                line=line.strip('n').strip('t')
42                #print(line)
43                p =  re.findall('''(['"]/[^][^>< )({}]*?['"])''',line)
44                #print(p)
45                if p != None:
46                    #print(p)
47                    for path in p:
48                        path=path.replace(':"',"").replace('"',"")
49                        paths.append(file+"---"+path)
50        except Exception as e:
51            print(e)
52
53
54for var in sorted(set(paths)):
55    with open (fileurl+'_path.txt',"a+",encoding='gb18030', errors='ignore') as paths:
56        paths.write(var+'n')

效果大概是这样，再稍微处理一下，去除一些重复的和一看就是无用的接口后，直接丢进去Burp里跑一下

最后有300多个接口，直接丢到Burp里跑就行了 post请求和get请求

结果绝大部分是服务异常，可能是需要某些参数来触发

几个返回大量数据的都是如下的资料，比如公司的职位信息，编号等等，没有敏感的个人讯息相关。

之后变换成get请求，发现某些接口直接就返回了大量的数据，如下两个接口，其中一个接口直接返回了当前我自己的信息，而且信息非常的多。根据个人经验，这种返回persion信息的地方常常都有参数可遍历，而默认情况就是返回自身数据。

使用技巧，返回包转请求包

最终定位到了persionId参数为影响数据的参数，可以看到我personID=1 就返回异常，而输入我自己的正确的personID就返回正常。

那么接下来的思路就是寻找这个personId，通过get请求发现某些接口返回的数据和这个personId很像，比如下面的/tree/list 接口里的manager，都是xxx-xxx-xxx格式的，有没有可能这就是同一个数据的不同命名。

带上manager的值去访问，一个严重的越权访问就此得到

发现了一些GET/POST能够直接返回数据的接口，但是其实绝大部分的接口其实还是返回的服务异常，如果直接忽视掉这些肯定会错过很多漏洞。

比如onBoardTab接口，get、post都是返回服务异常。

肯定是缺少了某些参数导致，盲目猜参数是最无效的方法，返回包是json格式，有没有可能我们转为x-www-form-urlencoded解析是存在问题，但是转为json格式就能成功呢？尝试一下

直接提示参数了，这就解决了，发现该接口的返回不一般，直接返回了员工的大量个人信息。

之后通过json格式的数据包又批量跑了一下，发现还是有一部分的接口还是存在问题的，没有返回500，而是返回200空数据，那么有可能这些接口可能还是缺少了参数，但是应该不是同一个人写的代码，这一块有可能是@RequestMapping注解不同所导致的问题。

但是我又不想爆破，爆破是最后没办法的办法

于是找了之前的JS想看看是不是JS中有提供一些信息（有时候JS会直接提供参数），可以看到有13个JS文件，一个一个看吧，发现每个JS文件的内容都是不一样的

发现大部分的JS都是没有什么提示的

但是在一些JS里找到了searchParams字符串，这个字符串非常的可疑，很多JS文件里都有这个字符串，那么我们是不是可以批量提取一下这个字符串，然后将其变成参数呢？

匹配的规则就是e.searchParams,"[a-zA-Z_]+"，效果如下

简单处理下

然后再转为json格式，直接返回了数据！！！

之后逐个删除，发现决定该接口的是orgId这个参数。

同样的，我们也可以关注"$route.query.xxxxx"这样的字符串，例如下面两图所示，可能是会是获取参数的有效方式之一。

END