某安全产品黑盒测试

admin 2024年5月25日08:27:53评论12 views字数 1211阅读4分2秒阅读模式

文章正文

注:本次测试均有相关测试授权!!!

前言

算是xx厂商的安全产品,通过搜索引擎并没有找到很多资产,怎么说也是个0或1day,因此记录一下。

漏洞挖掘

Shiro 反序列化

打开网站,还是熟悉的登录界面
某安全产品黑盒测试
尝试弱口令,可惜没能登录进去
辗转反侧,返回包中看到rememberMe
某安全产品黑盒测试
打算掏出工具一把梭,可惜没有key,无奈暂时先搁置

SpringBoot heapdump文件泄露

这时Burp被动插件搞到一个heapdump文件,可惜没有直接命令执行的接口
某安全产品黑盒测试
下载解密,不出意外搞到一个ShiroKey
某安全产品黑盒测试
但是工具利用时,跑不了利用链
某安全产品黑盒测试
所以丢Burp中看下是什么原因
Burp只有一大坨请求包,没有返回包,猜测可能是被拦截了
某安全产品黑盒测试

Bypass GetShell

这里可以参考下这篇文章
https://mp.weixin.qq.com/s/N4wF28mCWprD2edSd91L0Q
修改请求方法发现有返回了,说明成功绕过
某安全产品黑盒测试
这里有个小技巧,可以利用Burp的功能并将利用工具代理到Burp,实现批量替换请求方法,步骤如下,可以看到请求方法被批量替换,并且成功跑出利用链
某安全产品黑盒测试
某安全产品黑盒测试
某安全产品黑盒测试

后台任意文件上传

与甲方沟通要到一个测试账号但测试不允许传木马文件,所以这里用txt替代
找到添加连接的位置->图片上传
某安全产品黑盒测试
常见一个txt并修改后缀为.jpg,内容为123
上传,利用burp拦截重放,发现文件名被替换且没有返回路径,感觉可能要寄
某安全产品黑盒测试
但是这时发现路径上传了很多值,随即利用Burp搜索功能全局搜索相关参数出现位置
某安全产品黑盒测试
第一个包为刚才上传内容没有变得包
某安全产品黑盒测试
第二个则为上传后利用fileId查询上传位置的包
某安全产品黑盒测试
第三个为上传文件名并返回fileId的包,看到这,只能说实在是tql,一个上传竟然要分三部分来进行
某安全产品黑盒测试
但是这里直接拼接路径却访问不到,一时之间有些尴尬
某安全产品黑盒测试
利用前面的反序列化执行命令查找一下到底有没有上传上去,执行ls看到当前目录下有个和返回路径一致的文件夹,顿时凉了一截,这家伙原来是不在web目录,随即查看web目录位置,尝试跨目录上传
某安全产品黑盒测试
这里查找web目录可用ps -aex查看进程,看到run.sh以及目录名字,大致猜到应该是web目录
某安全产品黑盒测试
ls web目录,查看目录下有哪些东西,看到webapp- xxxxxxx.jar当时就打算放弃,因为是jar包起的,所以应该是jar自带的web服务,直接传jsp,也不解析,只能打内存马
某安全产品黑盒测试
但是还是要验证下可不可以跨目录
修改上传文件名的数据包,name处改为../../../../../../123.txt,如果可以将会在根目录写入一个123.txt
某安全产品黑盒测试
提取第一个返回包中的fileId,接着修改上传文件内容包的fileId值
某安全产品黑盒测试
最后在第三个包中填入fileId值查看
某安全产品黑盒测试
反序列化执行命令查看系统根目录下是否已生成上传的文件
某安全产品黑盒测试
至此编写测试报告提交,收获两中一高,美滋滋。

文章来源:https://xz.aliyun.com/t/14527

原文始发于微信公众号(Z2O安全攻防):某安全产品黑盒测试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月25日08:27:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某安全产品黑盒测试https://cn-sec.com/archives/2768034.html

发表评论

匿名网友 填写信息