浅谈常见未授权访问漏洞系列（五）

浅谈常见未授权访问漏洞系列（五）
2023-1-20 20:30:48 Author: 渗透安全团队(查看原文) 阅读量:120 收藏

今天我们继续来聊一聊常见未授权访问漏洞系列五，每一次的记录都能让自己有所收获，每一次的实战记录笔记会让自己对这个漏洞系列更加的熟悉。

系列一在这：浅谈常见未授权访问漏洞系列（一）。

系列二在这：浅谈常见未授权访问漏洞系列（二）。

系列三在这：浅谈常见未授权访问漏洞系列（三）。

系列四在这：浅谈常见未授权访问漏洞系列（四）。

一、浅谈常见未授权访问漏洞系列五

1、Swagger UI未授权访问漏洞

（1）攻

Swagger是一款主流API框架，搭建好环境时可直接在线测试API接口，而如果上线之后未对我们的接口文档以及相关接口进行权限控制时将会给到攻击者机会，直接访问接口文档并开始审计进行接口测试，严重可以实现数据泄露、文件上传、任意文件下载等操作。

http://IP地址:端口/Swagger/ui/indexhttp://IP地址:端口/doc/index.htmlhttp://IP地址:端口/swagger.jsonhttp://IP地址:端口/swagger/v1/swagger.json.......等等，这里就不放这么多了，整理了一个目录到时候XDM自行下载就好啦。

后续利用：

①直接去尝试获取到的API接口或者接口文档，对里面的接口功能进行增删改查操作，可以利用接口测试工具，例如：postman\jmeter\apipost等等。

②对于一些一级目录访问的时候做了相关限制，这时候我们可以将我们常见的目录文件对其进行拼接访问，可以有效的增大自己对该接口的未授权遍历。

③一般常见的漏洞有以下几种，测试的时候可以着重挖掘：文件上传、信息抓取二次利用、SQL注入、任意文件下载等。

（2）防

①开启黑白名单访问验证机制，避免不知名攻击。

②开启Authorize认证，不要让自己的接口存在安全风险。

2、Harbor未授权添加管理员漏洞

（1）攻

Harbor是一款用于存储和分发Docker镜像的企业级Registry服务器，它具备了安全性和漏洞分析，审核日志等功能；但在用户注册的时候添加管理权限参数则可以直接注册为管理员，不需要授权。

在注册用户数据包内容中添加管理员权限参数："has_admin_role":true

（2）防

①升级到Harbor最新版本。

https://github.com/goharbor/harbor/releases

②对管理员权限参数has_admin_role进行权限控制。

3、Harbor未授权访问漏洞（CVE-2022-46463）

这个漏洞最近几天很火，但是对于个人理解这个很难说是一个有效严重漏洞，毕竟这个漏洞在一定的条件下有一定的影响，通过分析/handler/search.go下的代码不难可以看出，针对搜索只是能看到自己权限下的仓库镜像，利用前置条件还是蛮高的，具体影响个人理解为一般，不需要太敏感。（该观点仅为个人理解，师傅们勿喷

）

（1）攻

恶意链接：/account/sigin-in?globalSearch=想要搜索的镜像名

（2）防

①升级到Harbor最新版本。

https://github.com/goharbor/harbor/releases

②放置公网上，配置黑白名单权限进行访问控制，最好是可以放在内网环境。

③将所有项目仓库中的镜像取消公开权限。

4、ThinkAdmin V6未授权访问漏洞

（1）攻

ThinkAdmin是一款基于 ThinkPHP 开发的微信后台管理平台，由于配置错误可以进行未授权目录遍历、任意文件读取等敏感操作。

未授权目录遍历：(post传参)

http://IP地址/admin.html?s=admin/api.Update/noderules=["目录名"]（对其进行URL编码）

任意文件读取

利用未授权目录遍历可以得到很多目录或者文件名，然后利用版本读取进行版本识别，进而识别到对应版本的加密方式，然后利用加密方式对我们的目录进行加密并构造恶意读取链接即可进行任意文件读取。

版本识别：http://IP地址/admin.html?s=admin/api.Update/version任意文件读取：http://IP地址/admin.html?s=admin/api.Update/get/encode/文件加密字符

（2）防

①升级到ThinkAdmin最新版本。

https://gitee.com/zoujingli/ThinkAdmin

②放置公网上，配置黑白名单权限进行访问控制。

③对其进行权限限制，只允许访问本地或官方代码或开启防盗模式。

5、Kong Admin Rest API未授权访问漏洞（CVE-2020-11710）

（1）攻

Kong是一款开源的API网关应用程序，可以实现对流量的精准控制，由于管理员的控制接口配置不严格存在未授权访问漏洞，一般会开放端口8001、8444在公网上，可以对其突破边界防御进行可回显的SSRF，对内部web系统进行进一步攻击利用。

脚本利用：https://github.com/1135/Kong_exploit/

（2）防

①升级到ThinkAdmin最新版本或者下载对应补丁。

升级版本链接：https://github.com/Kong/docker-kong/releases补丁链接：https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c

6、PHP-FPM Fastcgi未授权访问漏洞

（1）攻

PHP-FPM搭建完成之后会默认开启9000端口，该端口暴露在公网上，攻击者可直接进行Fastcgi协议的构建进行与fpm进行直接通信，进行恶意代码执行直接拿下服务器权限。

脚本利用：https://gist.github.com/phith0n/9615e2420f31048f7e30f3937356cf75代码分析详解可参考phith0n师傅写的文章：https://www.leavesongs.com/PENETRATION/fastcgi-and-php-fpm.html代码执行：python 脚本.py IP地址 /usr/local/lib/php/PEAR.php -c '<?php echo `想要执行的命令`; ?>'

（2）防

①放置公网上，配置黑白名单权限进行访问控制。

7、Goldenkey-key自助建站系统未授权访问漏洞（CNVD-2020-75513，1-day漏洞）

（1）攻

Goldenkey-key自助建站系统是一款热门自建站系统，目前依旧无相关POC暴露在公网上，但内行圈子已有相关定量的传播，由于权限配置问题，可以直接访问该链接进行恶意文件上传getshell拿下服务器权限，当然该系统也是做了一定的策略的（前台黑白名单校验），师傅们可以自己搭建环境尝试一下，具体怎么绕过去黑白名单机制之后如何让我们的文件实现落地连接关注我，我们后续揭晓。

恶意链接：https://IP地址/admin/fileadmin/index2.jsp?xz=icoxhttp://IP地址/admin/fileadmin/index.jsp?xz=pic&path=

（2）防

①对未授权界面进行账号密码等权限控制，配置黑白名单权限进行访问控制。

②对文件上传点进行文件校验等措施进行防护。

二、总结

每一次的总结都是一种进步，每一次与师傅们交流都可收获不少东西，每一次的潜心研究都会有重大发现，就是希望我们安全圈子的漏洞越来越少，也希望更多人关注网络安全，希望自己在网络安全这条道路上可以走的更远一些。

今年的文章就到这啦，我们过完年再继续聊......

未授权访问漏洞系列未完，待续......

★

付费圈子

欢迎加入星球！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关注有礼

关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

群聊 | 技术交流群-群除我佬

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247496423&idx=2&sn=c21dd5417b096d3b5a4afc29b05c8480&chksm=c1760f48f601865ea6e6e5f0919b4e1e57e429799c5773b62295457fcee76654100da1fed4f9#rd
如有侵权请联系:admin#unsafe.sh