记一次通过对利用springBoot漏洞获取heapdump文件从而接管云主机
2023-4-21 16:47:25 Author: www.freebuf.com(查看原文) 阅读量:35 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

前言

看师傅们在渗透过程中总能遇到通过springboot漏洞获取heapdump然后拿下云主机,看的一直心痒。于是开始了批量扫描之路。

渗透过程

  1. 通过httpx批量对网站扫描/env 、 /actuator/env 文件,获取到三个站点,一个学校站点(记aaa.edu.cn),两个某车企站点(记test1.com.cn和test1.com.cn)。
  2. 两种方式获取云主机权限                                                                                                                          案例一 :访问 aaa.edu.cn/api/actuator/ 出现heapdump文件路径。1680839331_642f92a3e7fd207772f6b.png!small下载后利用JDumpSpider-1.0-SNAPSHOT-full快速找到密钥,直接开搞,利用cf创建后门,接管。1680839534_642f936e127fd25e3e00c.png!small案例二:访问 https://test2/actuator/出现heapdump文件路径,下载后发现阿里云主机密钥

    1680837103_642f89efeb4d4c561af8d.png!small

    1680837142_642f8a16105f33346418c.png!small

    使用cf工具进一步利用,但发现heapdump文件里的密钥权限低,没有接管权限

    1680838046_642f8d9e9e3798356b51d.png!small

    条条道路通罗马,利用行云管家填入密钥,获取主机

    1680837388_642f8b0ccb844252c0d79.png!small

    添加几个主机后发现大多数主机上基本上都是无关数据,猜测可能是因为主机即将到期,用户已经将数据迁移。

    1680837864_642f8ce87ee1213320a74.png!small

    就连磁盘快照都删的一干二净

    1680837931_642f8d2b3889b62925d50.png!small

    转战 test2.com.cn/env

    1680838654_642f8ffe881a059056268.png!small存在env路径但没有heapdump路径,在网上尝试仿试env脱敏,但没有成功。

    在第一步,传送vps地址时,可传送成功

    1680838785_642f908123d52d5a18ced.png!small

    但在刷新反弹时,出现的情况的反弹不成功或防护墙拦截

    1680838872_642f90d82d717d7434b6c.png!small

    1680838937_642f91196be31fe189141.png!small

    并没有出现师傅所述的反弹***base64加密的结果,可能是姿势不对,也可能的我太菜,若有表哥能够指点一二,表弟不胜感激。


文章来源: https://www.freebuf.com/articles/web/364388.html
如有侵权请联系:admin#unsafe.sh