前言
各位CSDN的小伙伴们,大家好啊!这是本人在CSDN的第一次发文,还望各位大佬们嘴下留情,多多提点。
今天我打算记录一个Java系统的漏洞挖掘,其中该系统的主要的问题是没有做越权防护,其他漏洞暂时没有挖到,本人技术不够精湛,所以暂先记录着吧,每天进步一点,总会有变强的一天。
系统介绍
系统是一个Java写的自动化测试系统:不同角色之间做不同的事情,领导申请任务,审核同意,领导再把任务派发给下属,下属执行测试任务,同时也有一些下载报告,上传文件之类的操作,但是由于我比较菜,这些功能点并没有挖到什么漏洞,所以在这里就不再进行过多地赘述了。
系统本身需要登录才可以进去使用,使用的是统一认证的登录界面,登录成功然后跳转到对应系统的,所以这里给了测试账号来进行测试,下面是本次测试所使用的 3 个测试账号信息:
为了保证客户系统的安全性,这些账号信息是经过我二次修改的。下面我这里大概解释一下这 3 个角色的作用:
测试人员
主要发起一些测试任务,有上传压缩包、APK 等功能,同样也可以下载测试报告,有账户余额,一些功能操作会积分,可以用余额去购买积分。
中层领导
可以发起申请给自己团队添加人员,可以删除和恢复自己的下属成员,可以申请团队经费用于分配给下属成员进行测试使用
审核人员
主要负责处理一些领导层那边发起的审核,类似于 HR,也可以将集团成员划分到某某部门,分配不同的职责
当然功能比我叙述的还要多一点,我只能够叙述个大概,这里大家做个简单的了解就好。
测试弯路
以下都是我测试中走的弯路,实际上都没有研究出什么成果,还是技术不行,还是记录一下吧:
任意文件上传
在使用测试人员在进行功能测试的时候是可以指定上传zip或者apk的格式的,当然只是前段限制了上传的格式,抓包替换还是可以轻松过掉这个限制的,但是上传啥后缀的文件都不解析,点击直接就下载了,jsp的测试文件也是如此,感觉没有什么作用就放弃了继续测试上传。
任意文件下载
点击之前上传的附件是可以任意文件下载的,浏览器复制下载链接发现是通过指定模块来实现下载功能的,尝试../../../../../index.jsp
没有成功,应该是做了些过滤,所有的下载功能点都是使用的同一个模块,所以最后也就放弃了,没有测试成功。
Tomcat PUT
Burpsuite 查看网站返回包,发现存在 apache-coyote/1.1