实战 | 记一次有趣的客户端RCE+服务端XXE挖掘
2022-12-16 08:11:10 Author: 系统安全运维(查看原文) 阅读量:17 收藏

0x01 起因

朋友给某甲方做渗透测试,奈何甲方是某知名保险,系统太耐艹,半天不出货

兄弟喊我来一块来看,于是有了本文

0x02 客户端RCE一处

朋友把靶标发给我看了下,除了两个下载链接啥也没有

链接下载下来的东西如图,看了下目录里面还有JRE,那么很显然,这客户端exe就是个JAVA启动命令执行套壳

随后打开program文件夹,逆了一下里面的Jar

full_path前面定义为用户更新时输入的路径

那么很简单了full_path可控,诱导用户安装更新时路径出输入注入命令即可

D:\software && ping hacker's IP

0x03 发现Webservice Soap接口

光这一个水来的客户端RCE肯定是不够的,接下来继续挖掘服务端

看了看没别的功能点,我就简单FUZZ了一下这个系统三级目录

最后FUZZ出来了一个webservice接口

http://****.xxxxxx.cn/xxxx/service

拼接出其wsdl接口

http://****.xxxxxx.cn/xxxx/service/BusinessService?wsdl

但导入SoapUI或AWVS的调试模块进行调试时却发现其导入失败

仔细看了下WSDL返回的信息。。。妈的WSDL Import Location和Soap Address Location都是内网域名

不过幸运的是,该系统的外网域名拼接路径后也可以访问到这个WSDL接口

但是自动化的Soap接口调试工具是“看见什么就import什么”,这可让人犯了难

0x04导入SoapUI

思考了一会,突然想起来BurpSuite可以把RequestBody和ResponseBody的值进行替换,hhh,那我们就有办法导入了

在Burpsuite的Porxy Option中增加Match&Replace规则

将WSDL Import Location和Soap Address Location处对应的内网域名都替换为外网域名

随后在SoapUI中设置Proxy

打开代理,再次添加WSDL,ResponseBody的内网域名成功被替换,WSDL导入成功~

0x05 XXE挖掘

导入接口后,发现有参数为dataXML,心中暗喜XXE估计是送上门了

直接BurpSuite中利用XXE OOB测试

OOB成功,XXE到手,收摊~

0x06 总结

坚持一下,守得云开见月明,漏洞就在眼前~


作者:J0o1ey原文链接:https://www.cnblogs.com/J0o1ey/p/15717362.html

如有侵权,请联系删除

好文推荐

红队打点评估工具推荐
干货|红队项目日常渗透笔记
实战|后台getshell+提权一把梭
一款漏洞查找器(挖漏洞的有力工具)
神兵利器 | 附下载 · 红队信息搜集扫描打点利器
神兵利器 | 分享 直接上手就用的内存马(附下载)
推荐一款自动向hackerone发送漏洞报告的扫描器
欢迎关注 系统安全运维

文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247513672&idx=2&sn=10a43fdf7d6b954ca95270454752e70a&chksm=c3086538f47fec2ee6274584c144c4ede419d39e34fed83305339397840a847829167fdb82d9#rd
如有侵权请联系:admin#unsafe.sh