前言

记录一次简单的企业漏洞挖掘经历,这次漏洞挖掘主要是利用了接口未授权漏洞和弱口令漏洞,像是闯关打怪一样,通过前个漏洞提供的信息来利用后一个漏洞,多个漏洞层层配合,最终拿下后台权限。其实漏洞复现的难度都不高,但是拿下后台权限的这个经历还是很有意义,至于为什么称作幸运值爆满的渗透经历,往下看就知道了

复现过程

对目标集团进行测试,先对集团控股子公司一通信息收集,找到了一个比较偏门的小程序,直接上bp抓包就拿下了访问地址https://xxxxx.xxxxxx.com/jeecg-boot/

image-20230206220424603

简单发了几个poc发现没被拦,说明没有waf或者waf未正确配置,直接上目录扫描,发现了我们的老朋友SpringBoot 接口泄露

image-20230206220839554

访问 /actuator/httptrace 路径,查找有没有登录的 token 信息,果然找到一个

image-20230206221432495

拿去进行解密,发现登录用户是 admin,豁!这一下就抽中了大奖,使用这个 token 应该可以获取很高的权限

image-20230206221733433

访问 /jeecg-boot/ 可以访问应用系统的接口文档,配置的功能接口都存在鉴权,需要输入 token 值才能正常使用。这不很巧嘛,正好在上一步我们拿到了 admin 的 token 值,直接在这里用上,最好的结果就是通过某处接口直接上传文件拿shell,次要的便是获取登录信息进入后台

image-20230206222535624

测试发现利用这个 token 确实可以与所有功能接口交互,对所有接口进行测试未发现什么敏感数据,而且也不存在提权接口,奇怪的是系统模块的接口很少,甚至没有获取用户信息的接口,这个接口基本是网站登录功能必备,所以推断文章中的接口应该不全

对着网站继续一顿测,希望能拿到可以提权的漏洞。想到之前进行目录扫描时指定了只显示状态码为200的结果,访问401、403未授权的目录也许会有意外收获,于是又扫了一遍目录,发现网站还存在 Druid Monitor,而且很幸运的是直接通过弱口令就进来了

通过查看URI监控发现了用户列表接口 /jeecg-boot/sys/user/list

image-20230206223750235

使用之前获得的管理员 token 值通过bp访问接口,获取到了系统用户数据,可惜用户信息中没有保存密码

image-20230206230208678

把用户名都保存下来,拿去进行登录爆破,再次很幸运的成功爆破出弱口令账号

image-20230206230854044

最终通过弱口令登录后台,由于后台没什么敏感的数据,而且数据量不大,再进一步提权后再上报漏洞也不会提高评级,因此到这一步就打住了,没有继续往下测

image-20230206232930808

总结

总的来说,这次漏洞测试真的很幸运,每个漏洞都可以顺利利用,而且存在多出弱口令,漏洞之间还能互相配合,测试过程十分的丝滑。

并且之前是由于测部分网站会报大量403错误,而且403状态码的访问目录也没有绕过鉴权访问过,因此便在目录扫描时只指定了200和301、302状态码,减少其他干扰。但是这次测试让我知道了401和403状态码还是很有必要加上,也许就能和这次一样起到关键作用