Druid未授權訪問實戰利用

  • 2022 年 1 月 24 日
  • 筆記

Druid未授權訪問實戰利用

​ 最近身邊的同學都開始挖src了,而且身邊接觸到的挖src的網友也是越來越多。作者也是在前幾天開始了挖src之路。驚喜又遺憾的是第一次挖src就挖到了一家互聯網公司的RCE,可惜因為權重太小補天不收,最後也是交到了cnvd。

隨便找一個後台

​ 發現存在邏輯運算類的驗證碼,看來是爆破首先無望了。

不管三七二十一,先掃下web目錄再說,看看有沒有什麼意外收穫

呦西!發現對方用的是swagger框架和druid管理工具

先來訪問下swagger介面,發現並沒有預期的暴露api介面路徑

再來看看Druid介面。撿漏了,直接就進管理介面了。

SESSION偽造登錄後台

進入session監控介面,碰碰運氣看能不能找到一個未過期的session。

​ 這裡作者用的操作方法是fuzz登錄後的介面地址,然後直接將session添加到訪問的請求包中,最終找到的是index/home。主要還是URL監控裡面的URL沒一個看著像是登陸後的後台地址。


)

很不幸運第一個拿到的session是一個過期的session

隨後又試了幾個終於是找到了有效的session。成功進入了後台管理介面

尋找上傳點拿shell

​ 找到一個文件上傳的地方

經過測試發現是前端js驗證白名單上傳,本來還以為會需要條件競爭、截斷之類的操作

成功上傳

最後才發現,這個站的百度和移動權重為0,Google權重為1。既然不能交補天就交到其他地方去吧