【翻译】一个关于Synack红队目标的有趣的RCE !(019)

admin 2024年4月24日02:45:40评论11 views字数 1211阅读4分2秒阅读模式

标题:An interesting RCE on a Synack Red Team target!

作者:Daly Whyte

原文地址:https://d4ly.medium.com/an-interesting-rce-on-a-synack-red-team-target-516edb63fd04

寻找错误赏金时最令人满意的景象之一就是看到您的报告的接受电子邮件。如果是针对严重漏洞,那就更好了!

【翻译】一个关于Synack红队目标的有趣的RCE !(019)

最近,我很幸运地参加了一个身份验证测试,我可以作为一个特权用户登录。该用户没有操作系统访问权限,但可以进行配置更改。由于SQLi已经被排除在范围之外,我决定沿着这条路线尝试找到RCE漏洞,因为它们的报酬相当高。

经过一番挖掘后,我发现了一个端点,它允许我更改应用程序运行时使用的配置文件。无法上传我自己的文件,这些文件是预先设置的并且只能在用户界面中编辑。有两个文件看起来很有趣,一个是 .properties 文件,另一个是 .groovy 脚本。回想起我的 CTF 时代,我想起了 groovy 脚本能够执行命令。经过一番研究后,我发现了以下文章,它为我提供了一种通过 groovy 脚本执行命令的方法:

https://github.com/carlospolop/hacktricks-cloud/blob/master/pentesting-ci-cd/jenkins-security/jenkins-rce-with-groovy-script.md?source=post_page-----516edb63fd04--------------------------------

但有一个问题!我需要能够重新启动应用程序才能读取更新的 groovy 脚本并执行这些命令。

此时我的心沉了下去,我一时间也想不出有什么办法可以做到这一点。我点击了所有菜单项,急切地寻找重新启动选项。几分钟后,Burp 填充了一个有趣的端点,它的名称类似于restartApplication! **我测试了它,我确实可以重新启动应用程序 - 哇哦!

通过对我可以运行哪些命令(没有 netcat)进行一些猜测,我最终发现机器可以使用curl,并且我能够回拨 Synack Red Team 协作服务器,显示用户代理作为卷曲。

我决定稍微升级一下,以表明我可以访问文件系统,最终得到以下结果:

【翻译】一个关于Synack红队目标的有趣的RCE !(019)

重新启动应用程序并等待了很久之后,我终于收到了带有密码文件的回电!

【翻译】一个关于Synack红队目标的有趣的RCE !(019)

通过单击并测试所有内容发现了一个非常独特的漏洞!

经过事后诸葛亮和同行讨论,这可能是我很幸运能够被接受的一个,因为根据用户角色,它可以被认为是预期的功能。但这并不能消除这里的信息——绝对测试一切!

【翻译】一个关于Synack红队目标的有趣的RCE !(019)

每周一9点发布精选内容。

每周三9点发布翻译内容。

更多安全资讯,请关注微信公众号:安全虫。

每周坚持学习与分享,觉得文章对你有帮助可在底部给点个“在看”。

原文始发于微信公众号(安全虫):【翻译】一个关于Synack红队目标的有趣的RCE !(019)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月24日02:45:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【翻译】一个关于Synack红队目标的有趣的RCE !(019)https://cn-sec.com/archives/2085418.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息