视频教程在我主页简介或专栏里
链接:观看更多
Springboot actuator
(1)某学院学工管理系统存在Springboot actuator未授权,泄露了很多接口地址,其他接口就不过多介绍了,这里具体讲述这次利用到的httptrace和jolokia两个接口
(2)通常情况下,通过Spring actuator可以获取到Heapdump文件从而解密获取到数据库等重要信息,但是这里并没有Heapdump文件可用,所以我是通过jolokia接口得到了Env中的加密字段信息,具体操作步骤如下:
1.Env接口中找到加密字段的属性名称;
2.构造POST请求包向jolokia接口发起请求;
3.jolokia接口响应的Value值就是Env中加密字段的明文信息;
(3)通过该方法,获取到了Env中全部加密字段的信息,并通过开放端口成功接管了该校的minio存储桶
Spingblade
(1)Env接口中存在blade相关字段内容,所以我猜测该系统可能采用了Blade框架
(2)于是我对Blade的敏感接口进行未授权尝试:后端回显需要用户令牌进行鉴权,这个用户令牌鉴权一响应回来,我就想起了先前Springboot actuator泄露出来的httptrace接口(HTTP请求日志接口,Springboot actuator会默认将最近的100次HTTP请求记录到内存中,所以httptrace中极大可能存在用户令牌泄露)
(3)果不其然,一访问httptrace接口就看到了泄露的用户令牌
(4)利用泄露出来的用户令牌,构造GET请求Blade用户接口,成功获取全系统用户信息(由此可见,后端仅仅验证了用户令牌是否为有效用户令牌,并没有对用户身份进行鉴权)
(5)泄露出来的用户密码是MD5加密,首先对admin的密码进行了MD5解密,可惜解密失败,不过很多用户的密码都可以成功解密;于是我开始思考平台是如何对用户进行权限划分的,回到响应数据包中,对比admin用户与其他用户的区别,我发现admin用户与其他用户最大的不同在type和teacherId两个参数,所以我推测系统是根据参数type和teacherId来对用户进行权限的划分
(6)一般情况下,一个学校的系统会存在多个高权限用户,所以我继续翻找是否存在type和teacherId两个参数与admin用户参数值相同的用户;经过一番寻找,成功找到另外一个与admin用户鉴权参数值相同的用户,并且此用户的密码是可解密的,登录该用户后,发现先前的猜测完全正确,该用户具备与admin用户完全同等级的权限,成功拿下了该校的学工系统
视频教程在我主页简介或专栏里
申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关
