点击蓝字
关注我们
在某次的HW行动中,遇到某目标单位的数据库审计系统开放到了公网上,在尝试了默认口令口发现可以进入到后台。但是只是进入后台不足以完成任务,于是就开始了此次对此数据库审计系统的RCE挖掘之旅。
后台中有个功能是抓包工具的下载,抓包修改其文件名即可下载任意文件。
本来想的看升级包文件名是否可控,进行命令拼接RCE,但是文件名必须符合如下正则,无法绕过。
所以就直接构造升级包,将反弹shell的命令写到updateAll.sh文件中即可执行。
源码中也贴心的给出了模板文件:
那我们就按照他的升级逻辑来制作一个升级包:
将这个三个文件打包成xxx-1.1.1-12345678.tar,这个名字要符合上面那个正则
updateAll.sh是关键,其内容如下:
解密出来后就可以成功登陆后台了。
此漏洞分析过程如下:
此系统采用springBoot框架开发,权限过滤器中,updatePassword.action无需权限校验。
因此该用户的信息保存在了this.user对象中,从而导致密码信息被泄露,而密码的加解密逻辑都可以在代码中找到,从而可以解密后登录系统。
原文始发于微信公众号(SecIN技术平台):原创 | 某厂商数据库审计系统前台RCE挖掘之旅
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论