漏洞挖掘 | 记一次Spring横向渗透

news2024/11/15 18:44:40

0x1 前言

这篇文章给师傅们分享下,前段时间的一个渗透测试的一个项目,开始也是先通过各种的手段和手法利用一些工具啊包括空间引擎等站点对该目标公司进行一个渗透测试。前面找的突破口很少,不太好搞,但是后面找到了spring全家桶的相关漏洞,然后打了spring的很多漏洞,然后也是交了蛮多的漏洞报告的。

0x2 信息收集+资产收集

首先对这个公司进行信息收集,公司比较小然后利用爱企查也没有信息可以提供查询的

图片

这里点击这个股份穿透图,这个是免费的不需要会员,
然后如果你要对一个公司进行测试的话,可以利用这些拓扑图然后进行一个边缘资产的收集,进行外围打点之类的操作

图片

下面就找到了改公司的股份公司,然后对改公司再进行一个信息收集和资产收集
可以重点看下改公司的实缴资金以及相关知识产权,里面可以去测下这些web系统的相关漏洞,要是能打一般这样的系统都是一个通杀漏洞了。

图片

我这里使用onefor-all子域名扫描工具进行扫描

 
  1. python oneforall.py --target https://url/ run

图片

图片

然后访问子域名,再利用一些插件进行信息收集,看看开放的端口什么的

图片

然后找里面的子域名资产利用dirsearch进行目录扫描

图片

后来通过FOFA资产检索,发现了下面这个网站

图片

图片

0x3 漏洞猎杀

漏洞一:druid漏洞

这里通过检索druid关键字,发现子域名可能存在druid协议,那么就可以尝试打一波druid漏洞

图片

通过拼接druid的登录接口,发现确实存在druid登录后台

图片

然后就可以使用druid的常见弱口令,发现成功可以登录druid后台,然后后面就可以使用druid工具打打nday啥的了

 
  1. 常见用户:admin ruoyi druid

  2. 常见密码:123456 12345 ruoyi admin druid admin123 admin888

图片

漏洞二:spring-boot未授权漏洞

上面既然发现了druid,那么我们就可以使用曾哥的spring-boot工具进行扫一波
可以看到下面泄露了很多的未授权接口目录的信息,且泄露的页面长度很多

 
  1. python SpringBoot-Scan.py -u ip

图片

下面泄露了很多的接口信息,下面可以进行挨个访问看看

图片

图片

下面是常见的spring-boot接口泄露的相关信息,都可以去尝试访问下

 
  1. /actuator

  2. 查看有哪些 Actuator端点是开放的。

  3. /actuator/auditevent

  4. auditevents端点提供有关应用程序审计事件的信息。

  5. /actuator/beans

  6. beans端点提供有关应用程序 bean 的信息。

  7. /actuator/conditions

  8. conditions端点提供有关配置和自动配置类条件评估的信息。

  9. /actuator/configprops

  10. configprops端点提供有关应用程序@ConfigurationPropertiesbean的信息。

  11. /actuator/env

  12. 查看全部环境属性,可以看到 SpringBoot 载入哪些 properties,以及 properties 的值(会自动用*替换 key、password、secret 等关键字的 properties 的值)。

  13. /actuator/flyway

  14. flyway端点提供有关 Flyway 执行的数据库迁移的信息。

  15. /actuator/health

  16. 端点提供有关应用程序运行状况的health详细信息。

  17. /actuator/heapdump

  18. heapdump端点提供来自应用程序 JVM 的堆转储。(通过分析查看/env端点被*号替换到数据的具体值。)

  19. /actuator/httptrace

  20. httptrace端点提供有关 HTTP 请求-响应交换的信息。(包括用户HTTP请求的Cookie数据,会造成Cookie泄露等)。

  21. /actuator/info

  22. info端点提供有关应用程序的一般信息。

在/actuator/env直接拿下该账户密码

图片

然后这里直接访问这个下载heapdump文件,然后再使用heapdump工具进行检测里面的敏感信息

图片

使用脚本工具进行分析,里面泄露了很多的信息,可以去里面收集很多的账户密码,然后还有OSS储存桶相关账户信息

 
  1. java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump

图片

漏洞三:api接口未授权访问

这里我利用这个站点直接看里面的js接口,使用findsomething插件看看有什么常见的api泄露的接口,但是在这个插件中没有找到什么有价值的信息泄露接口

图片

下面可以尝试F12查看该站点的js文件,看看有没有常见的api泄露接口
直接在源代码里面检索文件里面的所有api接口,然后挨个去尝试下

图片

可以看到下面的这个api接口是可以成功访问的,直接一手未授权访问

图片

漏洞四:Swagger UI信息泄露漏洞

上面泄露的api接口使用Swagger UI插件访问,可以看到下面右下角是没有加密的,也就是我们可以尝试下面的GET、POST请求方法去打一个api接口未授权

图片

这里我们可以通过bp爆破去遍历一下id用户信息

图片

图片

然后里面还有很多的这样的信息泄露的接口都可以尝试未授权访问,看看有没有什么敏感信息泄露

图片

0x4 总结

相关的对该目标公司的站点的渗透测试的细节都分享给师傅们了,然后这次的话主要是针对spring-boot的一次横向渗透,利用红队打点的常见思路,对目标站点进行渗透测试,然后再利用别的接口泄露打一套漏洞,最后也是顺利的完成了这次渗透测试的工作。
希望这篇文章对师傅们有帮助!!!

更多网络安全优质免费学习资料与干货教程+

送渗透工具、技术文档、书籍,面试题、视频(基础到进阶。环境搭建,HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)、应急响应笔记、学习路线。

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2080271.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

2024.8.27

130124202408271012 DATE #:20240827 ITEM #:DOC WEEK #:TUESDAY DAIL #:捌月廿肆 TAGS < BGM "Dragonflame--Kirara Magic" > < theme oi-contest > < theme oi-data structure Segment > < [空] > < [空] > 渊沉鳞潜&#xff0c…

搜维尔科技:Manus VR高精度手部动作捕捉数据手套为人形机器人、人工智能和人机交互赋能

Manus Quantum数据手套能够提供实时端到端的手部动作数据流与高精度数据集&#xff0c;助力人形机器人实现快速发展。 Quantum量子数据手套采用毫米级精度的磁性指尖跟踪传感器&#xff0c;融入尖端的EMF磁性定位追踪技术&#xff0c;无漂移&#xff0c;能提供高度准确且可靠的…

波导阵列天线学习笔记5 工作在K/Ka频带上的紧凑的共口径双频双圆极化波导天线阵列

摘要: 在本文中&#xff0c;一种紧凑的共口径双频双圆极化天线阵列被提出在K/Ka频段的全双工卫星通信中来实现高增益和宽带宽。所设计的天线阵列可以同时在20GHz频带实现右旋圆极化辐射同时在30GHz频带实现左旋圆极化辐射。此阵列包括圆极化波导天线单元和全公司馈网。脊频谱极…

CTFHub-SSRF过关攻略

第一题&#xff0c;内网访问 一&#xff0c;打开web/ssrf/内网访问 二&#xff0c;进入页面什么都没有查看一下上一步给的参数 三&#xff0c;输入http://127.0.0.1/flag.php回车显示flag 四&#xff0c;然后复制提交&#xff08;恭喜通关&#xff09; 第二题&#xff0c;伪协…

Glide生命周期监听原理以及简单应用利用空Fragment代理Activity

Glide关于生命周期监听的原理解析以及简单应用 文章目录 Glide关于生命周期监听的原理解析以及简单应用1.Glide生命周期监听原理1.1 从Glide初始化开始分析1.2 原理总结 2.简单应用2.1 应用场景1-主题切换之昼夜模式变化监听2.2 应用场景2--SDK打开特定应用或Activity 3.总结 相…

docker的部署及基本用法

目录​​​​​​​ 1 docker 介绍 1.1 什么是docker&#xff1f; 1.2 docker在企业中的应用场景 1.3 docker与虚拟化的对比 1.4 docker的优势 1.5 容器工作方式 2 部署docker 2.1 配置软件仓库 2.2 docker 安装 2.3 配置docker 镜像加速器 2.4 启动服务 2.5 激活内核网络选项…

ctfhub-web-SSRF通关攻略

一、内网访问 1.打开ctfhub给的环境地址 2.观察题目 发现让我们访问127.0.0.1下的flag.php 在地址栏后面有一个url参数 ?urlhttp://127.0.0.1/flag.php 提交即可 二、伪协议读取文件 1.打开ctfhub给的环境 2.观察题目 发现让我们读取flag.php文件 读取文件用到的协议是…

2024最值得购买的耳机?开放式耳机测评

在2024年&#xff0c;多款开放式耳机在市场上备受关注&#xff0c;它们各具特色&#xff0c;满足了不同消费者的需求。今天甜心根据当前市场情况和用户反馈&#xff0c;为大家推荐几款最值得购买的开放式耳机&#xff1a; 虹觅HOLME Fit2 虹觅HOLME Fit2是一款集颜值、舒适度、…

WireShark网络分析~环境搭建

一、虚拟网络设备搭建 &#xff08;一&#xff09;eNSP介绍 网络由网络设备和计算机构成&#xff0c;eNSP是模拟网络拓扑关系的软件。 &#xff08;二&#xff09;eNSP下载 华为官网&#xff1a;https://forum.huawei.com/enterprise/zh/thread/blog/580934378039689216 &am…

2k1000LA 调试4G

问题&#xff1a; 其实算不上 调试&#xff0c; 之前本来4G是好的&#xff0c;但是 我调试了触摸之后&#xff0c;发现4G用不了了。 其实主要是 pppd 这个命令找不到。 首先来看 为什么 找不到 pppd 这个命令。 再跟目录使用 find 命令&#xff0c;能够找到这个命令&#…

python可视化-密度图

1、加载数据 import pandas as pd import numpy as np from sklearn.datasets import load_iris import warnings# 禁用所有警告信息 warnings.filterwarnings(ignore)# 加载数据 iris load_iris() iris iris.keys() df pd.DataFrame(iris.data, columnsiris.feature_names)…

【JS】localeCompare实现中文排序

如何对两个中文进行字典顺序排序&#xff0c;如’本’拼音首字母’b’&#xff0c;‘初’拼音首字母’c’&#xff0c;所以’本’<‘初’。 JS默认根据编码顺序排序 使用localeCompare即可&#xff0c;如 ‘本’ < ‘初’ 则返回负数 使用方法 referenceStr.localeComp…

HR招聘面试人才测评工具,mbti职业性格测试

MBTI职业性格测试是国际最为流行的职业人格评估工具&#xff0c;作为一种对个性的判断和分析&#xff0c;是一个理论模型&#xff0c;从纷繁复杂的个性特征中&#xff0c;归纳提炼出4个关键要素——动力、信息收集、决策方式、生活方式&#xff0c;进行分析判断&#xff0c;从而…

万邑通信息科技笔试题库:北森测评言语数字图形真题答题要求及真题分享

万邑通&#xff08;上海&#xff09;信息科技股份有限公司是一家提供跨境电商整体供应链解决方案的企业。我们专注于为全球客户提供跨境售后物流服务&#xff0c;通过供应链管理与互联网技术相结合&#xff0c;有效降低库存成本&#xff0c;提升库存周转率和资金回报率。我们的…

【应用开发】解决正点原子I.MX6ull应用编程zlib移植问题

问题描述 在正点原子应用开发移植zlib库的时候&#xff0c;文档中有这样一段描述&#xff0c;先删除开发板中的zlib库&#xff0c;然后再拷贝zlib库 这就会导致在使用scp命令拷贝编译好的zlib库的时候报错没有zlib.so.1&#xff0c;如下图所示&#xff1a; 解决方法 千万不…

如何使用ssm实现计算机科学与技术学习网站的设计与开发

TOC ssm248计算机科学与技术学习网站的设计与开发jsp 绪论 1.1 研究背景 当前社会各行业领域竞争压力非常大&#xff0c;随着当前时代的信息化&#xff0c;科学化发展&#xff0c;让社会各行业领域都争相使用新的信息技术&#xff0c;对行业内的各种相关数据进行科学化&…

基于layui实现简单的万智牌生命计数器页面

对照手机App“旅法师营地”的万智牌生命计数器窗口&#xff08;如下图所示&#xff09;&#xff0c;使用layui、jQuery等实现简单的万智牌生命计数器页面。   主要实现的功能如下&#xff1a;   1&#xff09;点击左右两侧的-1、1、-5、5区域更新左右两侧生命值&#xff1…

简过网:公务员考试缺考有什么影响?会影响下一次报名吗?

每年报名公务员考试的人有很多&#xff0c;但是弃考的人也有不少&#xff0c;比如发现个临时突发情况参加不了才公&#xff0c;那么&#xff0c;公务员考试缺考有什么影响&#xff1f;会影响下一次报名吗&#xff1f; 答案是不会…… 如果在笔试阶段&#xff0c;如果考生选择缺…

基于Thymeleaf、bootstrap、layUI 混合前端应用

目录 1、项目结构 2、pom依赖导入 3、页面加载机制 4、前端案例 4.1、加载公共页面及静态文件 4.2、Bootstrap col-md栅栏 4.3、BootStrap Table表格加载 4.4、Layui select下拉项加载 4.5、Layui radio 单选项加载 4.6、Ajax Post请求 以下代码基于Spring boot Thy…

STM32外部中断事件控制器-EXTI

EXTI简介&#xff1a; EXTI 是 External Interrupt 的缩写&#xff0c;表示外部中断事件控制器。EXTI 可以监测指定 GPIO 口的电平信号变化&#xff0c;并在检测到指定条件时&#xff0c;向内核的中断控制器 NVIC 发出中断申请。NVIC 在裁决后&#xff0c;如果满足条件&#xf…