经验分享|记一次bc站实战
2024-1-17 20:55:24 Author: Z2O安全攻防(查看原文) 阅读量:15 收藏

点击上方[蓝字],关注我们

建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号团队不为此承担任何责任。

发现一个bc站先尝试打一下主站

img

先尝试目录扫描看能不能发现一些后台之类的,这里我用的是dirsearch。

img

但是很遗憾,没有什么有价值的目录,连后台也扫不出来,但是这是在意料之中,毕竟大部分菠菜网站防护都做的挺好的。

接下里尝试注册一个账号看看

img

尝试注入,发现加密,不会逆向的我只能暂时放弃。

img

注册成功后发现一个上传接口

img

上传成功但是查看后发现他是以id的形式存储,无法形成上传漏洞放弃。

img

这个网站拿不下来转换思路尝试对整个ip进行渗透,首先要对这个ip的全端口进行扫描,尽量获取到比较全的信息。

获得了两个web页面。

rocketmq,这个有最新版漏洞爆出来尝试

img

找到工具尝试攻击,但是失败不能执行命令。

img

还有另外一个登录界面

img

发现存在shiro框架

img

尝试爆破但是未发现秘钥。

img

突破点:

他有一个8888端口,访问都会跳转非法ip

img

看了一下burp发现他会访问登录页面再进行跳转

img

眉头一皱发现事情并不简单,在ip后随便加了一点,导致其报错,发现其使用的是spring框架。

img

Actuator 是 Spring Boot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。

Actuator 的核心是端点 Endpoint,它用来监视应用程序及交互,spring-boot-actuator 中已经内置了非常多的 Endpoint(health、info、beans、metrics、httptrace、shutdown等等),同时也允许我们自己扩展自己的 Endpoints。每个 Endpoint 都可以启用和禁用。要远程访问 Endpoint,还必须通过 JMX 或 HTTP 进行暴露,大部分应用选择HTTP。




路径是否默认启用功能描述
/auditevents显示当前应用程序的审计事件信息
/beans显示一个应用中所有Spring Beans的完整列表
/conditions显示配置类和自动配置类的状态及它们被应用或未被应用的原因
/configprops显示一个所有@ConfigurationProperties[1]的集合列表
/env显示来自Spring的 ConfigurableEnvironment的属性
/flyway显示数据库迁移路径(如果存在)
/health显示应用的健康信息(当使用一个未认证连接访问时显示一个简单的’status’,使用认证连接访问则显示全部信息详情)
/info显示任意的应用信息
/liquibase展示任何Liquibase数据库迁移路径(如果存在)
/metrics展示当前应用的metrics信息
/mappings显示一个所有@RequestMapping[2]路径的集合列表
/scheduledtasks显示应用程序中的计划任务
/sessions允许从Spring会话支持的会话存储中检索和删除用户会话
/shutdown允许应用以优雅的方式关闭(默认情况下不启用)
/threaddump执行一个线程dump
/heapdump返回一个GZip压缩的hprof堆dump文件
/jolokia通过HTTP暴露JMX beans(当Jolokia在类路径上时,WebFlux不可用)
/logfile返回日志文件内容(如果设置了logging.file或logging.path属性的话),支持使用HTTP Range头接收日志文件内容的部分信息
/prometheus以可以被Prometheus服务器抓取的格式显示metrics信息

直接用spring收集好的目录进行目录扫描。

actuator
actuator/auditLog
actuator/auditevents
actuator/autoconfig
actuator/beans
actuator/caches
actuator/conditions
actuator/configurationMetadata
actuator/configprops
actuator/dump
actuator/env
actuator/events
actuator/exportRegisteredServices
actuator/features
actuator/flyway
actuator/health
actuator/heapdump
actuator/healthcheck
actuator/heapdump
actuator/httptrace
actuator/hystrix.stream
actuator/info
actuator/integrationgraph
actuator/jolokia
actuator/logfile
actuator/loggers
actuator/loggingConfig
actuator/liquibase
actuator/metrics
actuator/mappings
actuator/scheduledtasks
actuator/swagger-ui.html
actuator/prometheus
actuator/refresh
actuator/registeredServices
actuator/releaseAttributes
actuator/resolveAttributes
actuator/scheduledtasks
actuator/sessions
actuator/springWebflow
actuator/shutdown
actuator/sso
actuator/ssoSessions
actuator/statistics
actuator/status
actuator/threaddump
actuator/trace
auditevents
autoconfig
api.html
api/index.html
api/swagger-ui.html
api/v2/api-docs
api-docs
beans
caches
cloudfoundryapplication
conditions
configprops
distv2/index.html
docs
druid/index.html
druid/login.html
druid/websession.html
dubbo-provider/distv2/index.html
dump
entity/all
env
env/(name)
eureka
flyway
gateway/actuator
gateway/actuator/auditevents
gateway/actuator/beans
gateway/actuator/conditions
gateway/actuator/configprops
gateway/actuator/env
gateway/actuator/health
gateway/actuator/heapdump
gateway/actuator/httptrace
gateway/actuator/hystrix.stream
gateway/actuator/info
gateway/actuator/jolokia
gateway/actuator/logfile
gateway/actuator/loggers
gateway/actuator/mappings
gateway/actuator/metrics
gateway/actuator/scheduledtasks
gateway/actuator/swagger-ui.html
gateway/actuator/threaddump
gateway/actuator/trace
health
heapdump
heapdump.json
httptrace
hystrix
hystrix.stream
info
integrationgraph
jolokia
jolokia/list
liquibase
list
logfile
loggers
liquibase
metrics
mappings
monitor
prometheus
refresh
scheduledtasks
sessions
shutdown
spring-security-oauth-resource/swagger-ui.html
spring-security-rest/api/swagger-ui.html
static/swagger.json
sw/swagger-ui.html
swagger
swagger/codes
swagger/index.html
swagger/static/index.html
swagger/swagger-ui.html
swagger-dubbo/api-docs
swagger-ui
swagger-ui.html
swagger-ui/html
swagger-ui/index.html
system/druid/index.html
threaddump
template/swagger-ui.html
trace
user/swagger-ui.html
version
v1.1/swagger-ui.html
v1.2/swagger-ui.html
v1.3/swagger-ui.html
v1.4/swagger-ui.html
v1.5/swagger-ui.html
v1.6/swagger-ui.html
v1.7/swagger-ui.html
/v1.8/swagger-ui.html
/v1.9/swagger-ui.html
/v2.0/swagger-ui.html
v2.1/swagger-ui.html
v2.2/swagger-ui.html
v2.3/swagger-ui.html
v2/swagger.json
webpage/system/druid/index.html
%20/swagger-ui.html

开始扫描

img

并发现其中存在heapdump,下载下来。

Heap Dump也叫堆转储文件[3],是一个Java进程在某个时间点上的内存快照。

可以通过Eclipse MemoryAnalyzer工具对泄露的heapdump文件[4]进行分析,查询加载到内存中的明文密码信息,比如redis密码,mysql[5]数据库账号和密码。

这里我用的是whwlsfb[6]师傅的JDumpSpider[7] https://github.com/whwlsfb/JDumpSpider

img

成功获取shiro的key

img

打入内存马。

img

获取管理员权限

img

引用链接

[1] @ConfigurationProperties: https://github.com/ConfigurationProperties
[2] @RequestMapping: https://github.com/RequestMapping
[3] 文件: https://cn-sec.com/archives/tag/文件
[4] 文件: https://cn-sec.com/archives/tag/文件
[5] mysql: https://cn-sec.com/archives/tag/mysql
[6] whwlsfb: https://github.com/whwlsfb/JDumpSpider/commits?author=whwlsfb
[7] JDumpSpider: https://github.com/whwlsfb/JDumpSpider

文章来源:https://www.anquanke.com/post/id/291169作者:smile_r

知识星球

欢迎加入知识星球,星球致力于红蓝对抗,实战攻防,星球不定时更新内外网攻防渗透技巧,以及最新学习研究成果等。常态化更新最新安全动态。针对网络安全成员的普遍水平,为星友提供了教程、工具、POC&EXP以及各种学习笔记等等

交流群

关注公众号回复“加群”,添加Z2OBot好友,自动拉你加入Z2O安全攻防交流群(微信群)分享更多好东西。

关注我们

关注福利:

回复“app" 获取  app渗透和app抓包教程

回复“渗透字典" 获取 针对一些字典重新划分处理,收集了几个密码管理字典生成器用来扩展更多字典的仓库。

回复“书籍" 获取 网络安全相关经典书籍电子版pdf

回复“资料" 获取 网络安全、渗透测试相关资料文档

点个【 在看 】,你最好看


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2ODYxMzY3OQ==&mid=2247508027&idx=1&sn=b7a2ea834af8e9f447672d113301d640&chksm=cf982fd2c50bcae493b62d141bb200a2132d0f8acad5cf8aacf0a11a3f97b12717d9d57caba1&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh