0x01 Springboot端点未授权访问
发现acutator/env:
获取heapdump:
发现spring cloud gateway:
0x02 访问nacos
看到内网存在nacos,猜测可以通过springcloud gateway定义到内网的路由,步骤如下:
添加路由:
刷新路由:
查看添加好的路由:
直接访问有问题,需要令牌:
这里有两种解决方法,一是通过ruoyi-cloud的白名单配置上nacos的路由,但是env接口不能POST请求:
但是在heapdump中又存在一个jwt,所以猜测可以用heapdump中的jwt去实现登录ruoyi的gateway,然后用其他认证绕过方法登录nacos获取配置文件。但后来发现这个jwt是无效的:
因为用户登陆后会将jwt存到heapdump中,所以写一个脚本定时去下载heapdump获取jwt:
获得一个可用的jwt:
再使用mitmproxy实现ruoyi-gateway的登录以及nacos的认证绕过:
成功获取到nacos的所有配置文件:
内网中存在hessian反序列化但没法利用,并且不是derby数据库,所以打不了内存马。
0x03 访问后台
通过jwt获取后台信息:
获取后台账号密码:
登录ruoyi-cloud,拦截修改登陆包为以下内容即可登录:
原文始发于微信公众号(杂七杂八聊安全):实战干货 | 如何通过Springboot端点未授权访问nacos以及获取后台权限
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论