Autor: Xiao Milchsäure, wiedergegeben im offiziellen Bericht Network Security Journey.
0x01 Vorwort
Mittlerweile gibt es immer mehr Spingboot-Seiten. Beim unautorisierten Testen von SpingBoot werden 90 % der Leute ein Auge zudrücken, wenn sie nur „actuator/health“ und „actuator/info“ sehen. Allerdings habe ich während eines täglichen Schwachstellen-Mining-Prozesses verschiedene Aktuator-/Gesundheitslecks gesehen und die Serverberechtigungen weiter entfernt.
0x02 Hintergrund der Sicherheitslücke
Eine öffentliche Testkampagne, die autorisiert ist, die Ziel-Subdomain zu infiltrieren, wir nennen das Ziel target.com.
0x03 Schwachstellen-Mining-Prozess
Verwenden Sie theHarvester, um Subdomänennamen zu sammeln, und haben Sie ein Hintergrund-Anmeldesystem namens qwq.target.com gefunden. Der Fingerabdruck lautet spingboot. Melden Sie sich an, um Pakete zu erfassen, erfassen Sie die Anmelde-URL. Die URL lautet https://qwq.target.com/common/login. Verwenden Sie dirsearch, um eine Verzeichniserkennung auf seiner Schnittstelle durchzuführen. Das Wörterbuch ist ein spezielles Wörterbuch für Springboot. Es wurde festgestellt, dass Aktuator/Gesundheit und Aktuator/Info der Außenwelt ausgesetzt sind. Die meisten Aktuatoren/Gesundheitsmerkmale sind wie folgt:
Allerdings sieht der Aktuator/Zustand dieses Mal wie in der folgenden Abbildung dargestellt aus:
Achten Sie auf die vierzehn Parameter unter „Dienste“. Durch Beobachtung habe ich herausgefunden, dass diese vierzehn Parameter gemeinsam sind. Ja, die Anmeldeschnittstelle ist zufällig dieser Parameter.
OK, eine seltsame Idee war geboren, konstruieren Sie diese vierzehn Parameter in einem Wörterbuch und verwenden Sie Wfuzz, um https://qwq.target.com/FUZZ/actuator/env zu erkennen. Zum Glück war in message-api/actuator/env ein Statuscode von 200 enthalten ist zurückgekommen. Bisher können von Springboot nicht autorisierte Meldungen eingereicht werden.
Bei der anschließenden Penetration wurde jedoch bei der Verwendung von burp zur Erkennung des Verzeichnisses https://qwq.target.com/common/ festgestellt, dass das Feld „rememberMe=deleteMe“ in der von der Abmeldung zurückgegebenen Nachricht gefunden wurde. Das ist richtig, es stellte sich heraus, dass dieses System das Shiro-Framework war.
Laden Sie die Heapdump-Datei zur Analyse herunter, wir verwenden jvisualvm zur Analyse, importieren die heruntergeladene Heapdump-Datei in jvisualvm und suchen nach dem Feld „rememberme“.
Wir erhalten eine Zahlenfolge und wandeln diese mithilfe eines Skripts in einen Klartextschlüssel um.
Erfolgreiche Befehlsausführung.
0x04 Rückmeldung des Herstellers
Diese Schwachstelle gewann auch den höchsten Preis des Projekts, aber diese Idee lieferte mir viel Inspiration für das zukünftige Schwachstellen-Mining.
0x05 Zusammenfassung
1. Achten Sie besonders auf Punkte, die vom Üblichen abweichen.
2. Bringen Sie am besten ein Verzeichnis zur Fingerabdruckerkennung mit.
3. Beobachten Sie mehr und probieren Sie mehr aus.