Druid未授權訪問實戰利用
最近身邊的同學都開始挖src了,而且身邊接觸到的挖src的網友也是越來越多。作者也是在前幾天開始了挖src之路。驚喜又遺憾的是第一次挖src就挖到了一家網際網路公司的RCE,可惜因為權重太小補天不收,最後也是交到了cnvd。
隨便找一個後臺
發現存在邏輯運算類的驗證碼,看來是爆破首先無望了。
不管三七二十一,先掃下web目錄再說,看看有沒有什麼意外收穫
呦西!發現對方用的是swagger框架和druid管理工具
先來訪問下swagger介面,發現並沒有預期的暴露api介面路徑
再來看看Druid介面。撿漏了,直接就進管理介面了。
SESSION偽造登入後臺
進入session監控介面,碰碰運氣看能不能找到一個未過期的session。
這裡作者用的操作方法是fuzz登入後的介面地址,然後直接將session新增到訪問的請求包中,最終找到的是index/home。主要還是URL監控裡面的URL沒一個看著像是登陸後的後臺地址。
)
很不幸運第一個拿到的session是一個過期的session
隨後又試了幾個終於是找到了有效的session。成功進入了後臺管理介面
尋找上傳點拿shell
找到一個檔案上傳的地方
經過測試發現是前端js驗證白名單上傳,本來還以為會需要條件競爭、截斷之類的操作
成功上傳
最後才發現,這個站的百度和移動權重為0,谷歌權重為1。既然不能交補天就交到其他地方去吧