安全矩阵

 找回密码
 立即注册
搜索
查看: 4411|回复: 0

手注大佬带你如何误打误撞搞渗透

[复制链接]

98

主题

207

帖子

955

积分

高级会员

Rank: 4

积分
955
发表于 2020-7-20 09:00:01 | 显示全部楼层 |阅读模式
前言本文记录一次springboot站点渗透,其实没有多高深的技术,仅分享思路。
开始手上接到一个站点测试任务,就一个登陆框,简单直接,只能硬着头皮上了。



信息搜集,目标为阿里云,发现目标主机开放80,3306,3389。mysql无法外连。3389开着,但暂时放一放,不到万不得已先不爆破。



先看web吧,看到tab上的小绿叶比较熟悉。



正好最近看到一些师傅写的相关springboot漏洞利用文章[1]。其中有说如何判断系统是否为springboot。小绿叶就是明显特征。还有就是报错页面,确实也是存在的(后面再说)。因此可基本判断站点为springboot框架编写。那就先扫一下是否有actuator配置不当。
emm,运气不佳,没扫出来(根目录下扫不出可以扫一下二三级目录,本次测试均失败)。那只能关注web功能本身了。幸好路还没给我们堵绝,注册看一下。



看到需要审核直接心里凉了半截。无奈先注册再说。注意图中框出的参数。



点击注册按钮后触发了报错页面(这条路也断了?)。



虽然报错了,但尝试登陆是成功的 :-)。但登陆进去之后。



WTF... 啥功能没有,这,,,怎么测?
ok,继续搞吧,不搞没饭吃啊 :-)。猜测用户没有审核通过,所以没有菜单和功能。但一个功能都没有是没想到的。在登陆页面看到一个html页面。访问一下






抓包尝试注入,全部返回ok,不像有注入。



自闭。。。
柳暗花明必须要柳暗花明啊,要不然没这篇文章了。。。
此处登陆框有验证码,人看着都有点困难,暂时没想要识别验证码爆破。手动试个弱口令,admin返回密码错误,乱输的用户名返回无用户,典型可爆破用户名,但一看验证码,em。。。先搁在一边。试了几个弱口令无果。又研究了注册功能。



可以改一下roleid,改成了0和1都没用,该没功能还是没功能。当时也不知道咋想的,把姓名改成了admin,注意这里的姓名其实没啥意义,登陆名用的是下面的一个红框框出的名字。



然后再次登陆后,我呆住了,菜单栏出来了,这算什么,逻辑漏洞?用name来判断是否为admin?



一瞬间狂喜,然后点了一下各个功能



果然,还是没有权限,大部分为403



不过好在多了那么多接口,随手在查询框出输了个',springboot 报错。sql注入存在



sqlmap跑了一下,由于是aliyun,表还没跑出来就被封了。换ip手注吧。奇怪的是使用报错注入竟然没拦截,sqlmap被拦可能发包频率太快。正好练一下手注的能力。常规的报错注入,最后拿到管理员密码hash。各大md5解密网站无解:-(



user表存在roleoid一列,看到admin的roleid为1(这里的roleid就是之前我们注册修改的roleid,当时修改为1,没成功,可能还有其他验证。)找到其他roleid为1的用户,



可以找到我们之前注册的一些测试用户。还有一个用户,用户名直接是中文,这谁受得了。搞一波密码,MD5解密



哦吼,结束了。
登陆系统



再也没有烦人的403了。
不过最终没有getshell,算是有点小遗憾。。。
References[1] 文章: https://www.freebuf.com/news/193509.html
写在结尾
文章转自圈子社区成员srat1999的精华贴,特此感谢srat1999的分享输出。
文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 01:38 , Processed in 0.014116 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表