漏洞挖掘 | 记一次Spring横向渗透

2024-08-26 20:12

本文主要是介绍漏洞挖掘 | 记一次Spring横向渗透,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

0x1 前言

这篇文章给师傅们分享下,前段时间的一个渗透测试的一个项目,开始也是先通过各种的手段和手法利用一些工具啊包括空间引擎等站点对该目标公司进行一个渗透测试。前面找的突破口很少,不太好搞,但是后面找到了spring全家桶的相关漏洞,然后打了spring的很多漏洞,然后也是交了蛮多的漏洞报告的。

0x2 信息收集+资产收集

首先对这个公司进行信息收集,公司比较小然后利用爱企查也没有信息可以提供查询的

图片

这里点击这个股份穿透图,这个是免费的不需要会员,
然后如果你要对一个公司进行测试的话,可以利用这些拓扑图然后进行一个边缘资产的收集,进行外围打点之类的操作

图片

下面就找到了改公司的股份公司,然后对改公司再进行一个信息收集和资产收集
可以重点看下改公司的实缴资金以及相关知识产权,里面可以去测下这些web系统的相关漏洞,要是能打一般这样的系统都是一个通杀漏洞了。

图片

我这里使用onefor-all子域名扫描工具进行扫描

 
  1. python oneforall.py --target https://url/ run

图片

图片

然后访问子域名,再利用一些插件进行信息收集,看看开放的端口什么的

图片

然后找里面的子域名资产利用dirsearch进行目录扫描

图片

后来通过FOFA资产检索,发现了下面这个网站

图片

图片

0x3 漏洞猎杀

漏洞一:druid漏洞

这里通过检索druid关键字,发现子域名可能存在druid协议,那么就可以尝试打一波druid漏洞

图片

通过拼接druid的登录接口,发现确实存在druid登录后台

图片

然后就可以使用druid的常见弱口令,发现成功可以登录druid后台,然后后面就可以使用druid工具打打nday啥的了

 
  1. 常见用户:admin ruoyi druid

  2. 常见密码:123456 12345 ruoyi admin druid admin123 admin888

图片

漏洞二:spring-boot未授权漏洞

上面既然发现了druid,那么我们就可以使用曾哥的spring-boot工具进行扫一波
可以看到下面泄露了很多的未授权接口目录的信息,且泄露的页面长度很多

 
  1. python SpringBoot-Scan.py -u ip

图片

下面泄露了很多的接口信息,下面可以进行挨个访问看看

图片

图片

下面是常见的spring-boot接口泄露的相关信息,都可以去尝试访问下

 
  1. /actuator

  2. 查看有哪些 Actuator端点是开放的。

  3. /actuator/auditevent

  4. auditevents端点提供有关应用程序审计事件的信息。

  5. /actuator/beans

  6. beans端点提供有关应用程序 bean 的信息。

  7. /actuator/conditions

  8. conditions端点提供有关配置和自动配置类条件评估的信息。

  9. /actuator/configprops

  10. configprops端点提供有关应用程序@ConfigurationPropertiesbean的信息。

  11. /actuator/env

  12. 查看全部环境属性,可以看到 SpringBoot 载入哪些 properties,以及 properties 的值(会自动用*替换 key、password、secret 等关键字的 properties 的值)。

  13. /actuator/flyway

  14. flyway端点提供有关 Flyway 执行的数据库迁移的信息。

  15. /actuator/health

  16. 端点提供有关应用程序运行状况的health详细信息。

  17. /actuator/heapdump

  18. heapdump端点提供来自应用程序 JVM 的堆转储。(通过分析查看/env端点被*号替换到数据的具体值。)

  19. /actuator/httptrace

  20. httptrace端点提供有关 HTTP 请求-响应交换的信息。(包括用户HTTP请求的Cookie数据,会造成Cookie泄露等)。

  21. /actuator/info

  22. info端点提供有关应用程序的一般信息。

在/actuator/env直接拿下该账户密码

图片

然后这里直接访问这个下载heapdump文件,然后再使用heapdump工具进行检测里面的敏感信息

图片

使用脚本工具进行分析,里面泄露了很多的信息,可以去里面收集很多的账户密码,然后还有OSS储存桶相关账户信息

 
  1. java -jar JDumpSpider-1.1-SNAPSHOT-full.jar heapdump

图片

漏洞三:api接口未授权访问

这里我利用这个站点直接看里面的js接口,使用findsomething插件看看有什么常见的api泄露的接口,但是在这个插件中没有找到什么有价值的信息泄露接口

图片

下面可以尝试F12查看该站点的js文件,看看有没有常见的api泄露接口
直接在源代码里面检索文件里面的所有api接口,然后挨个去尝试下

图片

可以看到下面的这个api接口是可以成功访问的,直接一手未授权访问

图片

漏洞四:Swagger UI信息泄露漏洞

上面泄露的api接口使用Swagger UI插件访问,可以看到下面右下角是没有加密的,也就是我们可以尝试下面的GET、POST请求方法去打一个api接口未授权

图片

这里我们可以通过bp爆破去遍历一下id用户信息

图片

图片

然后里面还有很多的这样的信息泄露的接口都可以尝试未授权访问,看看有没有什么敏感信息泄露

图片

0x4 总结

相关的对该目标公司的站点的渗透测试的细节都分享给师傅们了,然后这次的话主要是针对spring-boot的一次横向渗透,利用红队打点的常见思路,对目标站点进行渗透测试,然后再利用别的接口泄露打一套漏洞,最后也是顺利的完成了这次渗透测试的工作。
希望这篇文章对师傅们有帮助!!!

更多网络安全优质免费学习资料与干货教程加

送渗透工具、技术文档、书籍,面试题、视频(基础到进阶。环境搭建,HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等)、应急响应笔记、学习路线。

申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

这篇关于漏洞挖掘 | 记一次Spring横向渗透的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1109567

相关文章

Java 实用工具类Spring 的 AnnotationUtils详解

《Java实用工具类Spring的AnnotationUtils详解》Spring框架提供了一个强大的注解工具类org.springframework.core.annotation.Annot... 目录前言一、AnnotationUtils 的常用方法二、常见应用场景三、与 JDK 原生注解 API 的

Java controller接口出入参时间序列化转换操作方法(两种)

《Javacontroller接口出入参时间序列化转换操作方法(两种)》:本文主要介绍Javacontroller接口出入参时间序列化转换操作方法,本文给大家列举两种简单方法,感兴趣的朋友一起看... 目录方式一、使用注解方式二、统一配置场景:在controller编写的接口,在前后端交互过程中一般都会涉及

Java中的StringBuilder之如何高效构建字符串

《Java中的StringBuilder之如何高效构建字符串》本文将深入浅出地介绍StringBuilder的使用方法、性能优势以及相关字符串处理技术,结合代码示例帮助读者更好地理解和应用,希望对大家... 目录关键点什么是 StringBuilder?为什么需要 StringBuilder?如何使用 St

使用Java将各种数据写入Excel表格的操作示例

《使用Java将各种数据写入Excel表格的操作示例》在数据处理与管理领域,Excel凭借其强大的功能和广泛的应用,成为了数据存储与展示的重要工具,在Java开发过程中,常常需要将不同类型的数据,本文... 目录前言安装免费Java库1. 写入文本、或数值到 Excel单元格2. 写入数组到 Excel表格

Java并发编程之如何优雅关闭钩子Shutdown Hook

《Java并发编程之如何优雅关闭钩子ShutdownHook》这篇文章主要为大家详细介绍了Java如何实现优雅关闭钩子ShutdownHook,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起... 目录关闭钩子简介关闭钩子应用场景数据库连接实战演示使用关闭钩子的注意事项开源框架中的关闭钩子机制1.

Maven中引入 springboot 相关依赖的方式(最新推荐)

《Maven中引入springboot相关依赖的方式(最新推荐)》:本文主要介绍Maven中引入springboot相关依赖的方式(最新推荐),本文给大家介绍的非常详细,对大家的学习或工作具有... 目录Maven中引入 springboot 相关依赖的方式1. 不使用版本管理(不推荐)2、使用版本管理(推

Java 中的 @SneakyThrows 注解使用方法(简化异常处理的利与弊)

《Java中的@SneakyThrows注解使用方法(简化异常处理的利与弊)》为了简化异常处理,Lombok提供了一个强大的注解@SneakyThrows,本文将详细介绍@SneakyThro... 目录1. @SneakyThrows 简介 1.1 什么是 Lombok?2. @SneakyThrows

在 Spring Boot 中实现异常处理最佳实践

《在SpringBoot中实现异常处理最佳实践》本文介绍如何在SpringBoot中实现异常处理,涵盖核心概念、实现方法、与先前查询的集成、性能分析、常见问题和最佳实践,感兴趣的朋友一起看看吧... 目录一、Spring Boot 异常处理的背景与核心概念1.1 为什么需要异常处理?1.2 Spring B

如何在 Spring Boot 中实现 FreeMarker 模板

《如何在SpringBoot中实现FreeMarker模板》FreeMarker是一种功能强大、轻量级的模板引擎,用于在Java应用中生成动态文本输出(如HTML、XML、邮件内容等),本文... 目录什么是 FreeMarker 模板?在 Spring Boot 中实现 FreeMarker 模板1. 环

SpringMVC 通过ajax 前后端数据交互的实现方法

《SpringMVC通过ajax前后端数据交互的实现方法》:本文主要介绍SpringMVC通过ajax前后端数据交互的实现方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价... 在前端的开发过程中,经常在html页面通过AJAX进行前后端数据的交互,SpringMVC的controll