0x01 前言
Druid是阿里开发的数据库连接池,广泛用于监控和数据管理。常见的安全漏洞主要有两种:未授权访问和弱口令问题。若发现Druid未授权访问,利用druid_sessions工具快速获取 Alibaba Druid 的相关参数(sessions, sql, uri, jdbc ),然后就可以利用Burpsuite进行遍历sessions验证是否可用,如果运气好就可以利用session进入后台或者getshell 啦
(下载工具 https://github.com/yuyan-sec/druid_sessions)。
0x02 漏洞案例一
通过目录扫描发现 Druid,通过访问 URI 监控发现文件上传接口
发现存在 Session,利用工具druid_sessions把 Session 保存下来
找个需要登录的链接爆破 Session,这是失效的 session
这是可以利用的 session
文件上传需要登录,所以需要上面的 session,尝试上传 jsp 提示非法。
随意输入一些后缀名,发现可以成功上传,说明是任意文件上传
0x03 漏洞案例二
cwkiller师傅的利用文章
当开发者配置不当时就可能造成未授权访问下面给出常见Druid未授权访问路
/druid/websession.html/system/druid/websession.html/webpage/system/druid/websession.html(jeecg)
当遇到需要登录的Druid是可能存在弱口下面给出Druid常见登录口路径。
/druid/login.html/system/druid/login.html/webpage/system/druid/login.html
以上路径可能不止存在于根目录,遇到过在二级目录下的,我们扫路径时可能就关注根目录这个点可以注意一下
Druid的一些利用方式
通过泄露的Session登录后台
直接在/druid/websession.html页面ctrl+a复制整个页面内容到EmEditor
删除红框部分,点击制表符
这样就可以直接复制了,也可以通过其他方式处理,个人比较喜欢这个方式
然后再到URI监控处找一条看起来像登录后台才能访问的路径(可用home等关键词快速定位)
此处设置爆破,将刚才得到的Session值填入,因为此处的session值存在一些特殊符号需要关闭burp默认的url编码
200即为有效session,用改cookie的插件改成有效的就能进入后台测试
通过URI监控测试未授权越权
由于有的Druid可能Session监控处没有东西,可以通过URI监控测试未授权越权
0x04 总结
最后总结,Druid常见漏洞为未授权访问和弱口令问题,危害较低,但通过以上两个案例方法利用druid_sessions工具可快速提取Session、SQL等敏感数据,结合Burp爆破劫持后台权限,甚至通过文件上传或越权接口实现Getshell,直接升级为高危或严重漏洞。喜欢的师傅可以点赞转发支持一下谢谢!
0x05 下载
原文始发于微信公众号(渗透安全HackTwo):让Druid未授权访问漏洞危害最大化案例和利用工具|挖洞技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论