Druid未授權訪問實戰利用

k1115h0t 發表於 2022-01-24

Druid未授權訪問實戰利用

​ 最近身邊的同學都開始挖src了,而且身邊接觸到的挖src的網友也是越來越多。作者也是在前幾天開始了挖src之路。驚喜又遺憾的是第一次挖src就挖到了一家網際網路公司的RCE,可惜因為權重太小補天不收,最後也是交到了cnvd。

隨便找一個後臺

​ 發現存在邏輯運算類的驗證碼,看來是爆破首先無望了。

Druid未授權訪問實戰利用

不管三七二十一,先掃下web目錄再說,看看有沒有什麼意外收穫

呦西!發現對方用的是swagger框架和druid管理工具

Druid未授權訪問實戰利用

先來訪問下swagger介面,發現並沒有預期的暴露api介面路徑

Druid未授權訪問實戰利用

再來看看Druid介面。撿漏了,直接就進管理介面了。

Druid未授權訪問實戰利用

SESSION偽造登入後臺

進入session監控介面,碰碰運氣看能不能找到一個未過期的session。

​ 這裡作者用的操作方法是fuzz登入後的介面地址,然後直接將session新增到訪問的請求包中,最終找到的是index/home。主要還是URL監控裡面的URL沒一個看著像是登陸後的後臺地址。

Druid未授權訪問實戰利用
)

很不幸運第一個拿到的session是一個過期的session

Druid未授權訪問實戰利用

隨後又試了幾個終於是找到了有效的session。成功進入了後臺管理介面

Druid未授權訪問實戰利用

尋找上傳點拿shell

​ 找到一個檔案上傳的地方

Druid未授權訪問實戰利用

經過測試發現是前端js驗證白名單上傳,本來還以為會需要條件競爭、截斷之類的操作

Druid未授權訪問實戰利用

成功上傳

Druid未授權訪問實戰利用

最後才發現,這個站的百度和移動權重為0,谷歌權重為1。既然不能交補天就交到其他地方去吧