edusrc系列(一):从springboot信息泄露到拿下管理员权限

写在前面:本文转自团队里的小呆师傅,感谢小呆师傅对我们团队的支持,大家感兴趣也可以微信公众号搜索小呆安全,感谢支持啊!!!

0x01:前言

以下漏洞均已经上报edusrc平台,并且已经修复。请勿利用文章内的相关技术从事非法测试。若因此产生一切后果与本公众号无关。

0x02:狂欢开始

1.故事的开始

相信不少网安人员都有点“母校情怀”,对母校都有一种偏执的念头。本文的故事就是从一次饭后浏览母校网页开始的。

wc,当我看见这个令人激动的叶子,我就知道。回馈母校的时候到了。先简单的fuzz一下路径,得到了一些user,system,survery等一些有效的根路径,继续fuzz一下路径。下面是user作为根路径的截图。

2.一路探索泄露之谜(env处)

GET请求/env会直接泄露环境变量,内网地址,配置中的用户名等信息。当程序员的属性命令不规范。例如password写成psasword,pwd等。就会泄露密码明文。

http://www.test.com/user/env

使用jolokia调用相关的Mbean获取明文。

POST /user/jolokia HTTP/1.1
Host: xxx
Content-Type: application/json
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: 
Upgrade-Insecure-Requests: 1
X-Forwarded-For: 127.0.0.1
Content-Length: 197

{"mbean": "org.springframework.cloud.context.environment:nam
e=environmentManager,type=EnvironmentManager","operation": "getProperty", "type": "EXEC", "arguments": ["security.user.password"]}

将POC中的security.user.password替换为实际要获取的属性名,直接发包就行。明文值结果包含在reponse数据包value中

3.一路探索泄露之谜(trace处)

记录了一些http请求包访问跟踪信息,有可能在其中发现内网应用系统的一些请求信息详情;以及有效用户或管理员的cookie,jwt token等信息

地址:http://www.test.com/user/trace

http://www.test.com/person/personInfo成功登录

当然了测试,用的是自己号。没什么数据。如果目标用户有数据就另当别论了。/trace中存在许多cookie信息。这里尝试用脚本一个一个访问。最后也是拿到管理员cookie

4.swagger-ui.html处

这个地方老经典了。但是这里真就泄露太多了。随便举个例子。

大量未授权操作:如未授权添加角色,未授权查看角色列表,未授权删除角色

用户管理接口:获取账号密码,这里也是获取到了管理的账号密码

  • 未授权添加角色

  • 未授权查看角色列表

  • 未授权删除角色

经过测试,此处存在大量未授权接口。许多敏感操作,未经授权直接可以操作。

成功拿到userid和邮箱还有电话号码,然后再根据userid获取用户的其他信息

尝试解密:

成功登录

  • 获取管理员账号和密码

  • 看下面我们成功拿到userid然后和之前的操作一下就行。就可以拿到密码了

收工。回家吃苕皮。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值