写在前面:本文转自团队里的小呆师傅,感谢小呆师傅对我们团队的支持,大家感兴趣也可以微信公众号搜索小呆安全,感谢支持啊!!!
0x01:前言
以下漏洞均已经上报edusrc平台,并且已经修复。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本公众号无关。
0x02:狂欢开始
1.故事的开始
相信不少网安人员都有点“母校情怀”,对母校都有一种偏执的念头。本文的故事就是从一次饭后浏览母校网页开始的。
wc,当我看见这个令人激动的叶子,我就知道。回馈母校的时候到了。先简单的fuzz一下路径,得到了一些user,system,survery等一些有效的根路径,继续fuzz一下路径。下面是user作为根路径的截图。
2.一路探索泄露之谜(env处)
GET请求/env会直接泄露环境变量,内网地址,配置中的用户名等信息。当程序员的属性命令不规范。例如password写成psasword,pwd等。就会泄露密码明文。
http://www.test.com/user/env
使用jolokia调用相关的Mbean获取明文。
POST /user/jolokia HTTP/1.1
Host: xxx
Content-Type: application/json
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie:
Upgrade-Insecure-Requests: 1
X-Forwarded-For: 127.0.0.1
Content-Length: 197
{"mbean": "org.springframework.cloud.context.environment:nam
e=environmentManager,type=EnvironmentManager","operation": "getProperty", "type": "EXEC", "arguments": ["security.user.password"]}将POC中的security.user.password替换为实际要获取的属性名,直接发包就行。明文值结果包含在reponse数据包value中
3.一路探索泄露之谜(trace处)
记录了一些http请求包访问跟踪信息,有可能在其中发现内网应用系统的一些请求信息详情;以及有效用户或管理员的cookie,jwt token等信息
地址:http://www.test.com/user/trace
http://www.test.com/person/personInfo成功登录
当然了测试,用的是自己号。没什么数据。如果目标用户有数据就另当别论了。/trace中存在许多cookie信息。这里尝试用脚本一个一个访问。最后也是拿到管理员cookie
4.swagger-ui.html处
这个地方老经典了。但是这里真就泄露太多了。随便举个例子。
大量未授权操作:如未授权添加角色,未授权查看角色列表,未授权删除角色
用户管理接口:获取账号密码,这里也是获取到了管理的账号密码
-
未授权添加角色
-
未授权查看角色列表
-
未授权删除角色
经过测试,此处存在大量未授权接口。许多敏感操作,未经授权直接可以操作。
成功拿到userid和邮箱还有电话号码,然后再根据userid获取用户的其他信息
尝试解密:
成功登录
-
获取管理员账号和密码
-
看下面我们成功拿到userid然后和之前的操作一下就行。就可以拿到密码了
-
收工。回家吃苕皮。
2632
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
