开局一个登录口
对页面进行目录fuzz发现/ct/account.html
页面存在
打开后发现有个添加账户的功能,点击后竟直接跳转到了系统后台首页,算是绕过登录
对添加账户进行抓包分析,可以发现是POST请求的API接口,分析后此接口用来生成用户的token
,图中可以看到生成的token为admin查看页面源代码可以看到
将跳转的URL复制下来,分析后可以看到xtoken的值等于API生成的token值,此处就在想会不会存在任意用户登录?
URI如下:
http://10.0.0.1:9999/cg/#/login?client=client_guarantee&xtoken=asIcWAwFI19L3B-Vy2clxxxxxxxxxxxxxxx&redirect=EXPN_FUND_ADMT%2FEXPN_FUND_ADMT0004
尝试生成其他用户的token,因在后台发现存在id为mengxufei
的用户,这里就以mengxufei为例,可以成功生成token
将生成的token复制到URL的xtoken里,可以成功登录
此时,burp被动扫描传来捷报,扫描到数个api接口的swagger文档
直接访问发现403,需要鉴权
将登录后台的jwt凭证填入到Google插件,鉴权成功可以看到swagger页面
根据报错判断后端服务器为Springboot
于是顺手探测Springboot的相关漏洞,但只存在端点泄露,并无heapdump和env
通过swagger发现某接口存在附件下载的功能,将filepath
修改为../../../etc/shadow
发现可以成功实现任意文件读取
通过读取root目录下的.bash_history
文件可以看到编辑过application-mysql.yml
文件
通过构造路径读取此文件,发现数据库以及redis等敏感信息泄露
以上的打点已经用了很长时间,但始终无法获取到权限,不甘放弃于是准备阅读一下js文件,在app.js里发现存在上传图片的功能
利用burp构造上传数据包,可以发现上传txt后缀的文件,但是访问后不解析
,包括jsp文件
后来尝试了各个swagger的上传接口,最后结果都是为不解析,跨目录也尝试过但也不行。
后来重新看了一下添加账户的功能,发现此接口同时也存在信息泄露,通过抓包可以看到用户的密码被写到了请求包里,加密是AES
day2:
第二天在之前进入的后台系统里过一遍功能,结果通过里面的某项功能跳转到了另一个系统,路径为/x_desktop/
,不过此系统需要账号密码,因之前在后台发现了一个sql注入,可以dump之前系统的用户和密码,准备来撞库一波
经过撞库发现并未成功,后来看了下源代码,发现此系统前端源码包含特征o2oa
,于是去百度搜索官方文档找账户密码
默认密码登录成功
紧接着利用公开的漏洞打一波,收获得rce一枚
反弹shell成功,拿下root权限
[全文完]
原文始发于微信公众号(哈拉少安全小队):红队篇-针对某集团的Web打点突破
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论