记一次框架利用接管学工系统

admin 2024年11月30日20:10:45评论13 views字数 1244阅读4分8秒阅读模式

扫码领资料

获网安教程

记一次框架利用接管学工系统

记一次框架利用接管学工系统

本文由掌控安全学院 -   pres3nt 投稿

Track安全社区投稿~  

千元稿费!还有保底奖励~(https://bbs.zkaq.cn)

Springboot actuator

(1)某学院学工管理系统存在Springboot actuator未授权,泄露了很多接口地址,其他接口就不过多介绍了,这里具体讲述这次利用到的httptrace和jolokia两个接口

记一次框架利用接管学工系统

记一次框架利用接管学工系统

(2)通常情况下,通过Spring actuator可以获取到Heapdump文件从而解密获取到数据库等重要信息,但是这里并没有Heapdump文件可用,所以我是通过jolokia接口得到了Env中的加密字段信息,具体操作步骤如下:

1.Env接口中找到加密字段的属性名称;
2.构造POST请求包向jolokia接口发起请求;
3.jolokia接口响应的Value值就是Env中加密字段的明文信息;

记一次框架利用接管学工系统

记一次框架利用接管学工系统

(3)通过该方法,获取到了Env中全部加密字段的信息,并通过开放端口成功接管了该校的minio存储桶

记一次框架利用接管学工系统

Spingblade

(1)Env接口中存在blade相关字段内容,所以我猜测该系统可能采用了Blade框架

记一次框架利用接管学工系统

(2)于是我对Blade的敏感接口进行未授权尝试:后端回显需要用户令牌进行鉴权,这个用户令牌鉴权一响应回来,我就想起了先前Springboot actuator泄露出来的httptrace接口(HTTP请求日志接口,Springboot actuator会默认将最近的100次HTTP请求记录到内存中,所以httptrace中极大可能存在用户令牌泄露)

记一次框架利用接管学工系统

(3)果不其然,一访问httptrace接口就看到了泄露的用户令牌

记一次框架利用接管学工系统

(4)利用泄露出来的用户令牌,构造GET请求Blade用户接口,成功获取全系统用户信息(由此可见,后端仅仅验证了用户令牌是否为有效用户令牌,并没有对用户身份进行鉴权)

记一次框架利用接管学工系统

(5)泄露出来的用户密码是MD5加密,首先对admin的密码进行了MD5解密,可惜解密失败,不过很多用户的密码都可以成功解密;于是我开始思考平台是如何对用户进行权限划分的,回到响应数据包中,对比admin用户与其他用户的区别,我发现admin用户与其他用户最大的不同在type和teacherId两个参数,所以我推测系统是根据参数type和teacherId来对用户进行权限的划分

记一次框架利用接管学工系统

记一次框架利用接管学工系统

(6)一般情况下,一个学校的系统会存在多个高权限用户,所以我继续翻找是否存在type和teacherId两个参数与admin用户参数值相同的用户;经过一番寻找,成功找到另外一个与admin用户鉴权参数值相同的用户,并且此用户的密码是可解密的,登录该用户后,发现先前的猜测完全正确,该用户具备与admin用户完全同等级的权限,成功拿下了该校的学工系统

记一次框架利用接管学工系统

申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.

记一次框架利用接管学工系统

原文始发于微信公众号(掌控安全EDU):记一次框架利用接管学工系统

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月30日20:10:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次框架利用接管学工系统https://cn-sec.com/archives/3453618.html

发表评论

匿名网友 填写信息