信安404 2023-09-13 21:24 发表于天津
以下文章来源于洪椒攻防实验室 ,作者Reig
声明:该公众号大部分文章来自作者日常学习笔记,未经授权,严禁转载,如需转载,联系洪椒攻防实验室公众号。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
0x00 前言
近俩月参加了好几次地方hw,省、市、区,省hw当然难度可想而知,地方区市的相对简单一点,据说"磐石行动"卷到动用核弹级别的0day了、看来被项目经理压榨到走投无路的地步了,区市的hw弱口令相对多一点、还有nday、1day。当然供应链同样是主流,记录下此次通过供应链拿下目标系统的过程。
0x01 正文
此次对目标单位进行信息搜集及简单探测后没有直接利用点,爆破弱口令无果,但是随后想到会不会存在供应链威胁(因为前不久刚通过某行业的供应链打进多个单位,所以始想尝试下供应链打击)
目标系统长这样:
但是js文件中没有很明显的特征、包括技术支持、版权所有等等字眼,无法判断开发单位是谁。
所以直接搜索ico值:
是直接能搜到的,备案单位除了目标单位,是xxx有限公司的,就基本上是开发单位了,为了验证一下,用备案单位搜出来确认一下,可以看到是有禅道系统的,可以确定是开发单位:
直接对禅道进行爆破,很遗憾没有爆破成果,随后再对该单位信息信息搜集(这里注意补充一下,各个测绘引擎都有优缺点、资产都会不一样,建议结合使用)
hunter对该IP没有收录到jenkins、Quake就收录了:
也是运气比较好 该开发单位其中几个项目设置为了所有人可访问,而且可以看到系统地址、账号密码:
所以直接找到跟目标系统相同的测试系统进行登录测试,去尝试有没有文件上传之类的漏洞,但是很奇怪的一点是,我都是超管了,没找到可以文件上传的功能点。
通过js文件找到了上传接口,简单构造一下是可以直接上传的:
上传jsp:
但是结果半小时寻找,该文件路径是不在web目录下,只能通过文件预览的方式去访问,无法利用,文件上传也就只能无奈放弃。
随后想到了用户管理会不会存在未授权呢?但很明显不存在未授权漏洞
但是,随后想到jwt会不会存在硬编码呢?
那么直接将host改为目标系统地址,居然惊喜的发现可以获取成功,但是没有任何返回数据,这就有点奇怪了,可能是当前token在目标系统那边没有权限?
那么既然token可以使用,那么我们试试直接添加一个用户、然后再添加一个角色、并且把该角色直接分配所有权限(所有接口的获取方式均在开发单位的测试系统中获取,因为两个系统几乎一模一样,通用的):
添加账号:
拿下目标系统:
0x02 思考
此次测试其实有疑惑的,刚开始怀疑是不是硬编码的时候我去把token用jwt解密了一下,解密后发现并不是简单的硬编码,参数很多,
至于为什么在开发单位的测试系统里的token可以在目标生产系统中使用,应该是系统只做了合法性校验、只要jwt格式对了,就可以随便越权。
JWT跟Token的区别: https://baijiahao.baidu.com/s?id=1747259628432332608&searchword=jwt
因为JWT的token值不会查询数据库,所以使用JWT进行身份校验的系统,拿到了密钥+正确格式就可以伪造身份。nacos身份绕过也是同理(QVD-2023-6271)。
0x03 小结
供应链将成为以后hw的主流手段之一,直接怼目标往往比较困难,从供应链入手可能会有一些意想不到的收获。
拜拜,瑞斯拜
| 
发表于 2023-9-15 22:30:30