漏洞挖掘 | 记一次Spring横向渗透

0x1 前言

这篇文章给师傅们分享下，前段时间的一个渗透测试的一个项目，开始也是先通过各种的手段和手法利用一些工具啊包括空间引擎等站点对该目标公司进行一个渗透测试。前面找的突破口很少，不太好搞，但是后面找到了spring全家桶的相关漏洞，然后打了spring的很多漏洞，然后也是交了蛮多的漏洞报告的。

0x2 信息收集+资产收集

首先对这个公司进行信息收集，公司比较小然后利用爱企查也没有信息可以提供查询的

这里点击这个股份穿透图，这个是免费的不需要会员，
然后如果你要对一个公司进行测试的话，可以利用这些拓扑图然后进行一个边缘资产的收集，进行外围打点之类的操作

下面就找到了改公司的股份公司，然后对改公司再进行一个信息收集和资产收集
可以重点看下改公司的实缴资金以及相关知识产权，里面可以去测下这些web系统的相关漏洞，要是能打一般这样的系统都是一个通杀漏洞了。

我这里使用onefor-all子域名扫描工具进行扫描

1. python oneforall.py --target https://url/ run

然后访问子域名，再利用一些插件进行信息收集，看看开放的端口什么的

然后找里面的子域名资产利用dirsearch进行目录扫描

后来通过FOFA资产检索，发现了下面这个网站

0x3 漏洞猎杀

漏洞一：druid漏洞

这里通过检索druid关键字，发现子域名可能存在druid协议，那么就可以尝试打一波druid漏洞

通过拼接druid的登录接口，发现确实存在druid登录后台

然后就可以使用druid的常见弱口令，发现成功可以登录druid后台，然后后面就可以使用druid工具打打nday啥的了

1. 常见用户:admin ruoyi druid

2. 常见密码:123456 12345 ruoyi admin druid admin123 admin888

漏洞二：spring-boot未授权漏洞

上面既然发现了druid，那么我们就可以使用曾哥的spring-boot工具进行扫一波
可以看到下面泄露了很多的未授权接口目录的信息，且泄露的页面长度很多

1. python SpringBoot-Scan.py -u ip

下面泄露了很多的接口信息，下面可以进行挨个访问看看

下面是常见的spring-boot接口泄露的相关信息，都可以去尝试访问下

1. /actuator

2. 查看有哪些 Actuator端点是开放的。

4. /actuator/auditevent

5. auditevents端点提供有关应用程序审计事件的信息。

7. /actuator/beans

8. beans端点提供有关应用程序 bean 的信息。

10. /actuator/conditions

11. conditions端点提供有关配置和自动配置类条件评估的信息。

13. /actuator/configprops

14. configprops端点提供有关应用程序@ConfigurationPropertiesbean的信息。

16. /actuator/env

17. 查看全部环境属性，可以看到 SpringBoot 载入哪些 properties，以及 properties 的值（会自动用*替换 key、password、secret 等关键字的 properties 的值）。

19. /actuator/flyway

20. flyway端点提供有关 Flyway 执行的数据库迁移的信息。

22. /actuator/health

23. 端点提供有关应用程序运行状况的health详细信息。

25. /actuator/heapdump

26. heapdump端点提供来自应用程序 JVM 的堆转储。(通过分析查看/env端点被*号替换到数据的具体值。)

28. /actuator/httptrace

29. httptrace端点提供有关 HTTP 请求-响应交换的信息。（包括用户HTTP请求的Cookie数据，会造成Cookie泄露等）。

31. /actuator/info

32. info端点提供有关应用程序的一般信息。

在/actuator/env直接拿下该账户密码

然后这里直接访问这个下载heapdump文件，然后再使用heapdump工具进行检测里面的敏感信息

使用脚本工具进行分析，里面泄露了很多的信息，可以去里面收集很多的账户密码，然后还有OSS储存桶相关账户信息

1. java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump

漏洞三：api接口未授权访问

这里我利用这个站点直接看里面的js接口，使用findsomething插件看看有什么常见的api泄露的接口，但是在这个插件中没有找到什么有价值的信息泄露接口

下面可以尝试F12查看该站点的js文件，看看有没有常见的api泄露接口
直接在源代码里面检索文件里面的所有api接口，然后挨个去尝试下

可以看到下面的这个api接口是可以成功访问的，直接一手未授权访问

漏洞四：Swagger UI信息泄露漏洞

上面泄露的api接口使用Swagger UI插件访问，可以看到下面右下角是没有加密的，也就是我们可以尝试下面的GET、POST请求方法去打一个api接口未授权

这里我们可以通过bp爆破去遍历一下id用户信息

然后里面还有很多的这样的信息泄露的接口都可以尝试未授权访问，看看有没有什么敏感信息泄露

0x4 总结

相关的对该目标公司的站点的渗透测试的细节都分享给师傅们了，然后这次的话主要是针对spring-boot的一次横向渗透，利用红队打点的常见思路，对目标站点进行渗透测试，然后再利用别的接口泄露打一套漏洞，最后也是顺利的完成了这次渗透测试的工作。
希望这篇文章对师傅们有帮助！！！

更多网络安全优质免费学习资料与干货教程＋

送渗透工具、技术文档、书籍，面试题、视频（基础到进阶。环境搭建，HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等）、应急响应笔记、学习路线。

申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。