标题:An interesting RCE on a Synack Red Team target!
作者:Daly Whyte
原文地址:https://d4ly.medium.com/an-interesting-rce-on-a-synack-red-team-target-516edb63fd04
寻找错误赏金时最令人满意的景象之一就是看到您的报告的接受电子邮件。如果是针对严重漏洞,那就更好了!
最近,我很幸运地参加了一个身份验证测试,我可以作为一个特权用户登录。该用户没有操作系统访问权限,但可以进行配置更改。由于SQLi已经被排除在范围之外,我决定沿着这条路线尝试找到RCE漏洞,因为它们的报酬相当高。
经过一番挖掘后,我发现了一个端点,它允许我更改应用程序运行时使用的配置文件。无法上传我自己的文件,这些文件是预先设置的并且只能在用户界面中编辑。有两个文件看起来很有趣,一个是 .properties 文件,另一个是 .groovy 脚本。回想起我的 CTF 时代,我想起了 groovy 脚本能够执行命令。经过一番研究后,我发现了以下文章,它为我提供了一种通过 groovy 脚本执行命令的方法:
https://github.com/carlospolop/hacktricks-cloud/blob/master/pentesting-ci-cd/jenkins-security/jenkins-rce-with-groovy-script.md?source=post_page-----516edb63fd04--------------------------------
但有一个问题!我需要能够重新启动应用程序才能读取更新的 groovy 脚本并执行这些命令。
此时我的心沉了下去,我一时间也想不出有什么办法可以做到这一点。我点击了所有菜单项,急切地寻找重新启动选项。几分钟后,Burp 填充了一个有趣的端点,它的名称类似于restartApplication! **我测试了它,我确实可以重新启动应用程序 - 哇哦!
通过对我可以运行哪些命令(没有 netcat)进行一些猜测,我最终发现机器可以使用curl,并且我能够回拨 Synack Red Team 协作服务器,显示用户代理作为卷曲。
我决定稍微升级一下,以表明我可以访问文件系统,最终得到以下结果:
重新启动应用程序并等待了很久之后,我终于收到了带有密码文件的回电!
通过单击并测试所有内容发现了一个非常独特的漏洞!
经过事后诸葛亮和同行讨论,这可能是我很幸运能够被接受的一个,因为根据用户角色,它可以被认为是预期的功能。但这并不能消除这里的信息——绝对测试一切!
每周一9点发布精选内容。
每周三9点发布翻译内容。
更多安全资讯,请关注微信公众号:安全虫。
每周坚持学习与分享,觉得文章对你有帮助可在底部给点个“在看”。
原文始发于微信公众号(安全虫):【翻译】一个关于Synack红队目标的有趣的RCE !(019)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论