重生之我是赏金猎人-SRC漏洞挖掘(六)-记一次有趣的客户端RCE+服务端XXE挖掘

最新推荐文章于 2024-03-23 11:00:00 发布
最新推荐文章于 2024-03-23 11:00:00 发布
阅读量464 收藏 2
点赞数
分类专栏: 渗透测试 src漏洞挖掘 网络安全 文章标签: 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26091745/article/details/129057229
版权

0x01 起因

朋友给某甲方做渗透测试,奈何甲方是某知名保险,系统太耐艹,半天不出货

兄弟喊我来一块来看,于是有了本文

0x02 客户端RCE一处

朋友把靶标发给我看了下,除了两个下载链接啥也没有

image-20211221161738507

链接下载下来的东西如图,看了下目录里面还有JRE,那么很显然,这客户端exe就是个JAVA启动命令执行套壳

image-20211221163318476

随后打开program文件夹,逆了一下里面的Jar

full_path前面定义为用户更新时输入的路径

image-20211221164113114

那么很简单了full_path可控,诱导用户安装更新时路径出输入注入命令即可

D:\software  && ping hacker's IP

image-20211221164536475
如有技术交流或渗透测试/代码审计/SRC漏洞挖掘/红队方向综合培训 红蓝对抗评估需求的朋友

欢迎联系QQ/VX-547006660

0x03 发现Webservice Soap接口

光这一个水来的客户端RCE肯定是不够的,接下来继续挖掘服务端

看了看没别的功能点,我就简单FUZZ了一下这个系统三级目录

image-20211221165245958

最后FUZZ出来了一个webservice接口

http://****.xxxxxx.cn/xxxx/service

image-20211221170241413

拼接出其wsdl接口

http://****.xxxxxx.cn/xxxx/service/BusinessService?wsdl

但导入SoapUI或AWVS的调试模块进行调试时却发现其导入失败

image-20211221170919611

仔细看了下WSDL返回的信息。。。妈的WSDL Import Location和Soap Address Location都是内网域名

image-20211221170700929

不过幸运的是,该系统的外网域名拼接路径后也可以访问到这个WSDL接口

但是自动化的Soap接口调试工具是“看见什么就import什么”,这可让人犯了难

0x04导入SoapUI

思考了一会,突然想起来BurpSuite可以把RequestBody和ResponseBody的值进行替换,hhh,那我们就有办法导入了

在Burpsuite的Porxy Option中增加Match&Replace规则

将WSDL Import Location和Soap Address Location处对应的内网域名都替换为外网域名

image-20211221171647617

随后在SoapUI中设置Proxy

image-20211221171932773

打开代理,再次添加WSDL,ResponseBody的内网域名成功被替换,WSDL导入成功~

image-20211221172214234

0x05 XXE挖掘

导入接口后,发现有参数为dataXML,心中暗喜XXE估计是送上门了

image-20211221172430352

直接BurpSuite中利用XXE OOB测试

image-20211221173007975

OOB成功,XXE到手,收摊~

image-20211221173147213

0x06 总结

坚持一下,守得云开见月明,漏洞就在眼前~

J0o1ey
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
《WEB安全渗透测试》(30)RCE漏洞挖掘技巧
午夜安全
09-14 1545
我们安全工程师最喜欢的漏洞是什么?非RCE漏洞莫属!那RCE漏洞挖掘是否有技巧可言?
RCE漏洞挖掘经验分享(一)
记录并分享学习安全的知识点..
01-21 2298
一、RCE漏洞概述 RCE又称远程代码执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 产生的原因:服务器没有对执行命令的函数做严格的过滤,最终导致命令被执行。 二、命令执行函数 1.PHP代码执行函数: eval()、assert()、preg_replace()、create_function()、array_map()、call_user_func()、call_user_func_array()、array_filter()、uasort()、等
一次可怜的150元RCE平安Src挖掘
qq_29437513的博客
06-05 1639
某次平安src,搞活动双倍奖励
一次曲折的RCE挖掘过程
一个安全研究员
09-10 1428
????
【零基础SRC】成为漏洞赏金猎人的第一课:加入玲珑安全漏洞挖掘班。
最新发布
wangluoanquan111的博客
03-23 658
[在这里插入图片描述](https://img-
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
蚁剑客户端RCE挖掘过程及源码分析 - 安全客,安全资讯平台1
08-03
前言:事情的起因是因为在一次面试中,面试官在提到我的CVE的时候说了我的CVE质量不高。简历里那几个CVE都是大一水过来的,之后也没有挖CVE更别说高质量的,所
Struts2-RCE:Burp Extender用于检查struts 2 RCE漏洞
04-15
Struts2-RCE 一个Burp Extender,用于检查struts 2 RCE漏洞。描述此burp扩展有助于识别struts2 Web应用程序中的Struts2远程代码执行漏洞。 此Burp扩展程序检测以下18个RCE,它们是S2-001 S2-007 S2-008 S2-012 S2-...
PbootCms-3.04前台RCE挖掘过程1
08-03
是借鉴了第篇章的某些思路。接着直接来看代码,先标仍然是解析 if 标签的代码块,看下三个正则相对于上个版本来说,第三条正则多了 (\([\w\s\.]+\))
重生之我是赏金猎人(四)-一次有趣客户端RCE+服务端XXE挖掘
weixin_44948325的博客
03-26 345
0x00 项目背景 该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。 该系列首发github:https://github.com/J0o1ey/BountyHunterInChina 本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。 0x01 起因 朋友给某甲⽅做渗透测试,奈何甲⽅是某知名保险,系统太耐⺾,半天不出货兄弟喊我来⼀块来看,于是有了本⽂ 0x02 客户端RCE⼀处 客户端RCE⼀处 朋友把靶标发给我看
XXE/RCE/序列化反序列化
hk41666的博客
07-17 1591
这几个学得都有点蒙,学得不是很认真,学不下去感觉。不知道学了些什么,也可能是自己身体原因。挺痛苦的。
绝对干货!src漏洞挖掘经验分享
热门推荐
南迪叶先森
07-16 2万+
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! src漏洞挖掘经验分享 – 掌控安全以恒 一、公益src 公益src是一个白帽子提交随机发现的漏洞的品台,我们可以把我们随机发现或者是主动寻找到的漏洞在漏洞盒子进行提交。 在挖掘src的时候不能越红线,一般情况下遇到SQL注入 只获取数据库名字以证明漏洞的存在即可,最好不要再往下获取。而xss漏洞 ,只获取自己的cookie或ip等信息以证明漏洞存在。遇到信息泄露时,如果存在可以下载敏感文件的情况那么在漏洞确认后一定要将文件删除。.
漏洞挖掘赏金猎人的方法论
明光札记
04-01 1329
下文对赏金猎人src漏洞挖掘中用到的方法和思维进行总结,建议收藏反复阅读
SoapUI 设置 request data with json body
weixin_30740295的博客
05-04 223
--背景 使用WCF定义REST风格的WebService,如下: [ServiceContract] public interface INISTService { [OperationContract, WebInvoke(UriTemplate = "/EnrollTP/{context}", RequestFormat = Web...
网络安全-RCE(远程命令执行)漏洞原理、攻击与防御
关注网络安全、云原生安全
10-05 1万+
目录 简介 原理 攻击 防御 参考 简介 RCE(remote command/code execute,远程命令执行)漏洞,一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上。 一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后,后台会对该IP地址进行一次ping测试,并返回测试结果。如果设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻击者通过该接口提交“意想
cve-2022-26134漏洞复现_实战_Confluence最新rce漏洞
恒安嘉新66的博客
06-11 3390
Confluence最新rce漏洞cve-2022-26134漏洞复现,有时拿下Confluence比拿下域控还有用,本次存在OGNL 注入rce漏洞,这次漏洞范围几乎通杀。
74CMS的RCE挖掘思路
include_voidmain的博客
04-06 2714
0x01 前言 在漏洞挖掘时发现了一个RCE漏洞,这个漏洞的发掘,利用过程比较有趣,和大家分享一下~ 实际上在半个月前,本人发布了一篇关于DedeCMS前端RCE分析并扩展RCE挖掘思路的文章。这篇文章中DedeCMS这个前端RCE出现的问题在于,浏览器发送至服务器数据包中的referer并没有进行过滤,并且将referer中的内容写入cache,然后include包含至当前文件,造成了代码注入,实现了RCE。在这里,执行并没有用eval,shell_exec,exec之类的危险函数,而是在于include
CVE-2017-15715漏洞和SSI-RCE漏洞。
07-27
SSI-RCE漏洞是一种服务器端包含(SSI)漏洞,可能导致远程命令执行。SSI是一种服务器端处理动态内容的技术,它允许将外部文件包含到网页中。如果服务器未正确配置和过滤用户提供的输入,攻击者可以通过注入恶意代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

J0o1ey

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值