/xx1-server/下actuator端点泄露--heapdump转储文件获取用户名密码-js中发现xx2和xx3路径中actuator端点泄露-尝试RCE(失败)-swagger-ui信息泄露-编写poc(批量)
对某edu进行了一波信息收集,发现某系统下调用了/xx1-server/的服务
尝试访问此路径,发现springboot信息
尝试访问actuator,发现包括heapdump以及jolokia诸多端点泄露
先下载heapdump文件查看
第一个heapdump利用工具无结果:
第二个heapdump利用工具通过搜索关键字username和password找到用户名密码:
还有内网数据库链接信息以及一个类似学号的用户名:
heapdump泄露的用户名密码较复杂,此系统还有一个平台可以登陆,尝试登陆提示失败
/xx2-server/无法访问,但是/xx3-server/可以访问,提示401
尝试使用/xx1-server/中heapdump泄露的用户名密码进行登陆,登陆成功,同样存在heapdump
尝试下载打开,发现没有什么有价值的东西
actuator下还存在jolokia以及jolokia/list,尝试jolokia Realm JNDI RCE
RCE以失败告终,接收到了目标请求,但是没有反应,高版本的JDK也试(env获取到的目标是jdk1.8),均失败,(github中的py脚本是get型的,在这里是登陆认证之后的,需要简单修改一下脚本,携带着header中的Authorization进行POST请求发包)。至于为什么不成功,可能""态势感知""或者"waf"知道
继续查看xxx.js文件,发现一行被注释的URL,指向的是另外一个学校的/xx3-server/,尝试利用title关键字进行搜索:
结果不是很多,尝试用js文件搜索,这次结果还可以
发现均存在xxx.js文件,并且xxx.js文件中基本都发现路径xx1-server、xx2-server以及xx3-server,有的可能只有xx1和xx2路径,尝试访问xx1,不需要密码,xx2同样无法访问,访问到xx3-server的时候,同样出现401,第一个学校中xx1-server下heapdump中获取到的用户名密码登陆到了第一个学校的/xx3-server/,再加上貌似是个通用型的服务,假如是通用型用户名密码,尝试用户名密码登陆第二个学校的/xx3-server/,登陆成功,验证了第一个猜想。
spring常见的还有swagger-ui以及v2/api-docs,尝试访问,均存在(后面会尝试通过接口获取敏感信息):
尝试访问其它学校,看看是不是同样的可以用户名密码登陆
是这样的,第三个学校同样xx1-server直接访问,但是actuator下无特殊端点泄露,xx2-server无法访问,xx3-server提示401登陆验证,使用泄露的用户名密码尝试登陆,登陆成功,存在swagger-ui以及v2/api-docs
尝试访问第四个学校,xxx.js同样存在,但是多了一个/xx4-server/路径,同样xx1-server直接访问,但是actuator下无特殊端点泄露,xx2-server无法访问,xx3-server提示401登陆验证,使用泄露的用户名密码尝试登陆,登陆成功,存在swagger-ui以及v2/api-docs,尝试访问/xx4-server/,actuator下无特殊端点泄露。
第五个学校同样如此
在swagger-ui列出的接口信息中,发现用户管理接口
貌似没用到token什么的进行鉴权,尝试访问可获取到用户敏感信息
用同样的方法访问其余站点,试了几个之后均存在敏感信息泄露
编写afrog https://github.com/zan8in/afrog 的通用POC,批量刷一下:
首先服务地址是在xxx.js文件中泄露的,先判断是否存在xxx.js,若不存在就跳过,其次是假如开启登陆认证的话,请求头会要求Authorization,内容是第一次heapdump泄露的username:password进行base64编码后的结果
结果如下:(并未进行敏感操作)
然后可以判断一下actuator端点存在多少,有61个结果,去重之后除去非edu的大概也有几十个吧,包括swagger-ui可以访问的也有不少:
打包提交:
欢迎加我wx,一起交流交流
湘安无事团队 知识星球 一次付费,永久免费,享受两大内部群+星球双重福利(付费之后会拉入内部成员群,直接免费续上)。有需要的直接添加上面微信 118永久,私我支付,直接拉内部成员群,扫码支付,三天后拉内部成员群。
内部群共享
1.fofa高级会员账号
2.360quake高级会员
3.某在线高级会员靶场账号(附带wp)
4.专属内部漏洞库(持续更新)
5.原创漏洞挖掘报告
6.it课表众多好课(持续更新,内容涉及安全+开发等)
7.在线答疑,不定期直播技术分享【湘南第一深情、wuli等】
星球介绍:
星球针对安全新人有优秀学习资源,星球专属嘉宾进行问题解答,
性价比很高。
如果你是入门不久,想要提升漏洞挖掘能力,那该星球是个不错的选择,星球内拥有
专属漏洞报告,
各种奇淫技巧、挖洞技术、专属嘉宾在线问答等。
欢迎您的加入,星球部分内容请你查看!!
星球内容介绍
星球内部提供众多好课
安全类:web安全、内网、src挖掘、kail、逆向、游戏漏洞挖掘、免杀等
开发类:python安全开发、java、Golang、php等开发课程
专栏提供内部漏洞库
专栏内容预览
扫码查看更多内容
文章引用微信公众号"WK安全",如有侵权,请联系管理员删除!