重生之我是赏金猎人(四)-记一次有趣的客户端RCE+服务端XXE挖掘

最新推荐文章于 2023-12-29 00:36:19 发布
最新推荐文章于 2023-12-29 00:36:19 发布
阅读量337 收藏 2
点赞数 2
分类专栏: 重生之我是赏金猎人 web安全 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44948325/article/details/123757208
版权

0x00 项目背景

该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。

该系列首发github:https://github.com/J0o1ey/BountyHunterInChina
本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。

0x01 起因

朋友给某甲⽅做渗透测试,奈何甲⽅是某知名保险,系统太耐⺾,半天不出货兄弟喊我来⼀块来看,于是有了本⽂

0x02 客户端RCE⼀处

客户端RCE⼀处 朋友把靶标发给我看了下,除了两个下载链接啥也没有
在这里插入图片描述

链接下载下来的东⻄如图,看了下⽬录⾥⾯还有JRE,那么很显然,这客户端exe就是个JAVA启动命令执⾏套壳
在这里插入图片描述

随后打开program⽂件夹,逆了⼀下⾥⾯的Jar full_path前⾯定义为⽤户更新时输⼊的路径
在这里插入图片描述

那么很简单了full_path可控,诱导⽤户安装更新时路径出输⼊注⼊命令即可

在这里插入图片描述

0x03 发现Webservice Soap接⼝

光这⼀个⽔来的客户端RCE肯定是不够的,接下来继续挖掘服务端看了看没别的功能点,我就简单FUZZ了⼀下这个系统三级⽬录
在这里插入图片描述

后FUZZ出来了⼀个webservice接⼝
http://.xxxxxx.cn/xxxx/service
在这里插入图片描述

拼接出其wsdl接⼝
http://.xxxxxx.cn/xxxx/service/BusinessService?wsdl
但导⼊SoapUI或AWVS的调试模块进⾏调试时却发现其导⼊失败
在这里插入图片描述

仔细看了下WSDL返回的信息。。。妈的WSDL Import Location和Soap Address Location都是内⽹域名
在这里插入图片描述

不过幸运的是,该系统的外⽹域名拼接路径后也可以访问到这个WSDL接⼝
但是⾃动化的Soap接⼝调试⼯具是“看⻅什么就import什么”,这可让⼈犯了难

0x04导⼊SoapUI

思考了⼀会,突然想起来BurpSuite可以把RequestBody和ResponseBody的值进⾏替换,hhh,那我们就有办法导⼊了
在Burpsuite的Porxy Option中增加Match&Replace规则将WSDL Import Location和Soap Address Location处对应的内⽹域名都替换为外⽹域名
在这里插入图片描述

随后在SoapUI中设置Proxy
在这里插入图片描述

打开代理,再次添加WSDL,ResponseBody的内⽹域名成功被替换,WSDL导⼊成功~
在这里插入图片描述

0x05 XXE挖掘

导⼊接⼝后,发现有参数为dataXML,⼼中暗喜XXE估计是送上⻔了
在这里插入图片描述

直接BurpSuite中利⽤XXE OOB测试
在这里插入图片描述

OOB成功,XXE到⼿,收摊~
在这里插入图片描述

0x06 总结

坚持⼀下,守得云开⻅⽉明,漏洞就在眼前

本文作者: J0o1ey

多吃点才可爱
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
零起飞CRM管理系统(07FLY-CRM)-代码审计(任意文件删除+RCE+任意文件上传+SQL注入)1
08-03
零起飞CRM管理系统(07FLY-CRM)-代码审计(任意件删除+RCE+任意件上传+SQL注)这选择从数据库名称 $dbname 下, 服务器连接地址, 数据
CVE-2019-11043:php-fpm + Nginx RCE
03-08
CVE-2019-11043 php-fpm + Nginx RCE0x01安装phuip-fpizdam-Mac go get github.com/neex/phuip-fpizdam go install github.com/neex/phuip-fpizdam ale@Pentest ~/go go get github....fpizdamale@Pentest ~/go lsbin ...
客户端插件_CVE-2019-10392:Jenkins Git client插件RCE复现
weixin_39771260的博客
01-01 191
0x00 简介Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。0x01 漏洞概述Git客户端插件中的系统命令执行漏洞,这是以允许具有Job/Configure权限的攻击者在Jenkins主服务器上执行任意系统命令作为Jenkins进程正在运行的OS用户的方式实现命令执行。0x02 影响范围Gi...
CVE-2019-0726:Win10 DHCP客户端RCE漏洞
systemino的博客
05-01 567
2019年1月,微软发布补丁修复了Windows系统中DHCP客户端的一个漏洞。攻击者可以发送伪造的DHCP响应来在受影响的系统上获取代码。引发该漏洞的根本原因在于可能导致DHCP客户端服务分配长度为0的堆缓存的恶意Domain Search选项。因为该缓存的长度为0,所以写入该缓冲区就会导致越界。 漏洞分析 Trend Micro研究人员Saran Neti发现了该漏洞的一个新变种。在新变种...
浅析xxl-obj分布式任务调度平台RCE漏洞
最新发布
道阻且长,行则将至。
12-29 2563
XXL-JOB 任务调度中心系统这几年被披露出存在多个后台命令执行漏洞,攻击者可以通过反弹 shell 执行任意命令,获取服务器管理权限。本文来分析、总结下 XXL-JOB 系统历史上几个 RCE 漏洞,为攻防工作积累 RCE 高危漏洞知识库。
【thinkphp漏洞复现】2-RCE+5.0.23-RCE+5-RCE远程代码执行漏洞+in-sqlinjectionSQL注入漏洞
serendipity1130的博客
09-01 1488
参考文章:https://blog.csdn.net/weixin_43071873/article/details/110084577 一、2-RCE 漏洞详情: ThinkPHP是一个免费开源的一个PHP开发框架。ThinkPHP2.x版本中,使用preg_replace的/e模式匹配路由: 导致用户的输入参数被插入双引号中执行,造成任意代码执行漏洞。 preg_replace(‘正则规则’,‘替换字符’,‘目标字符’) 如果目标字符存在符合正则规则的字符,那么就替换为替换字符,如果此时
一次曲折的RCE挖掘过程
一个安全研究员
09-10 1413
????
CVE-2022-22963-Spring-Core-RCE图形化利用工具
LiBai'S BLOG
04-01 9697
CVE-2022-22963 描述:Spring4Shell - Spring Core RCE - CVE-2022-22965 链接:https://github.com/TheGejr/SpringShell 描述:Spring4Shell Proof Of Concept/Information CVE-2022-22965 链接:https://github.com/BobTheShoplifter/Spring4Shell-POC 描述:This includes CVE-2022-22
CVE-2017-12629:Apache Solr XXE&&RCE
qq_61553520的博客
05-13 855
pache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞:XML实体扩展漏洞(XXE)和远程命令执行漏洞(RCE)。漏洞影响版本:Apache Solr before 7.1 with Apache Lucene before 7.1。
cve-2017-12629 apache solr xxe & rce 漏洞分析
whatday的专栏
06-26 1998
Versions Affected Apache Solr before 7.1.0 with Apache Lucene before 7.1 Elasticsearch, although it uses Lucene, is NOT vulnerable to this. Description Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查
一次可怜的150元RCE平安Src挖掘
qq_29437513的博客
06-05 1605
某次平安src,搞活动双倍奖励
蚁剑客户端RCE挖掘过程及源码分析 - 安全客,安全资讯平台1
08-03
前言:事情的起因是因为在一次面试中,面试官在提到我的CVE的时候说了我的CVE质量不高。简历里那几个CVE都是大一水过来的,之后也没有挖CVE更别说高质量的,所
CVE-2021-2109:通过JNDI的CVE-2021-2109 && Weblogic Server RCE
05-26
描述 Oracle Fusion Middleware(组件:控制台)的Oracle WebLogic Server产品中的漏洞。 受影响的受支持版本为10.3.6.0.0、12.1...如何RCE 步骤1:设定Weblogic 步骤2:登入 步骤3:设定JNDI伺服器 java -cp marshals
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http:
重生之我是赏金猎人(一)-轻松GET某src soap注入
weixin_44948325的博客
03-26 3855
0x00 该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。 该系列首发github:https://github.com/J0o1ey/BountyHunterInChina 本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。 0x01 在对某 SRC 测试时,本人根据其证书信息收集到了部分深度子域,并找到了其对 应的业务 IP 段 写了个 shell 脚本+ffuf 批量 fuzz 某 src c 段资产目录 fuz
重生之我是赏金猎人(三)-无脑挖掘某SRC getshell
weixin_44948325的博客
03-26 3146
0x00 项目背景 该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。 该系列首发github:https://github.com/J0o1ey/BountyHunterInChina 本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。 0x01 前⾔ 有技术交流或渗透测试培训需求的朋友欢迎联系QQ/VX-547006660 0x02 资产收集到脆弱系统 在某src挖掘过程中,本⼈通过ssl证书对域名资产进⾏了收集,通
重生之我是赏金猎人(六)-强行多次FUZZ发现某厂商SSRF到redis密码喷洒批量反弹Shell
weixin_44948325的博客
03-26 2760
0x00 项目背景 该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。 该系列首发github:https://github.com/J0o1ey/BountyHunterInChina 本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。 0x01 前言 有技术交流或渗透测试培训需求的朋友欢迎联系QQ/VX-547006660,需要代码审计、渗透测试、红蓝对抗⽹络安全相关业务可以联系我司 2000⼈⽹络安全交流群,欢迎⼤
重生之我是赏金猎人(九)-从本无法触发的xss到梦幻联动挖掘多个致命接口下的XSS触发点
weixin_44948325的博客
03-26 2271
0x00 项目背景 该系列旨在分享自己和团队在SRC、项目实战漏洞测试过程中的有趣案例,如果读者能从本项目习得一些有用的知识,那么笔者将非常荣幸。 该系列首发github:https://github.com/J0o1ey/BountyHunterInChina 本项目由M78sec维护,未经授权,文章严禁私自修改版权转载。 0x01 背景 在不久前参加了一次众测项目,需对某厂商的系统进行漏洞挖掘 在测试一套系统时,发现了很有意思的接口,可以操作另外两个站的输出点,以此导致多处 XSS 触发 0x02 初探
poc-yaml-thinkphp5023-method-rce poc1
07-29
poc-yaml-thinkphp5023-method-rce poc1 是一种潜在的安全漏洞利用程序,利用该程序可以对使用 ThinkPHP 5.0.23 版本的应用进行远程代码执行攻击。 ThinkPHP 是一款常用的 PHP 框架,版本 5.0.23 存在一个命令行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值