做滲透測試的過程中���,碰到過各種各樣千奇百怪的Web系統(tǒng)�����。因此�,打算寫一篇聚焦于如何獲得Web系統(tǒng)權(quán)限這個主題的文章�����。
因為其中的復(fù)雜性和特殊性,所以部分內(nèi)容將通過通用漏洞和自己碰到過的漏洞來演示��。部分演示漏洞可以在:- 登錄失敗返回包修改���,例如“false”改為“true”,響應(yīng)數(shù)值“0”改為“1”���,登錄后臺��。如果存在這些情況��,一般前端Js�����、Html也可以直接找到后端對應(yīng)的各類未授權(quán)訪問接口;
- 未授權(quán)訪問�����,直接訪問對應(yīng)鏈接即可獲得系統(tǒng)權(quán)限�����;
- 賬號密碼默認(rèn)填充,直接點擊即可登錄���;
- 弱口令爆破,使用一些用戶名���、人名����、密碼字典等進行爆破����;
- 根據(jù)系統(tǒng)查找系統(tǒng)對應(yīng)的默認(rèn)賬號密碼登錄;
- 有些系統(tǒng)的密碼為空�,密碼不填或者抓包后置空發(fā)送;
- 存在信息泄露手機號��、郵箱�、人名等可以到社工庫查找對應(yīng)的密碼���;
- 有些密碼需要根據(jù)收集的信息進行社工字典密碼生成才能得到,附兩個github項目:
"http://github.com/Mebus/cupp""http://github.com/zgjx6/SocialEngineeringDictionaryGenerator"- 用戶名或者密碼字段存在sql注入��,比較典型的是萬能密碼登錄����,例如’or 1=1 #在某些字典也集成了對應(yīng)payload;
- 存在sql注入翻找用戶名密碼���,有時候無法解密�,但是用戶登錄處加密功能與數(shù)據(jù)庫里最終加密結(jié)果一樣�,抓包后替換即可;
- 管理系統(tǒng)可以注冊成為管理員�,內(nèi)部人員所使用的系統(tǒng)在公網(wǎng)直接注冊成為內(nèi)部人員,從而獲取到特殊的權(quán)限��;
- 頁面無注冊功能�,通過Js或Html找到隱藏注冊接口注冊登錄�����;
- 注冊時驗證碼沒有做好綁定,刪除驗證碼參數(shù)�����,或者驗證碼參數(shù)為空可以注冊�����;
- 驗證碼沒有做好綁定��,發(fā)送了驗證碼但是后端接收到任意驗證碼都可以注冊���、爆破���、重置密碼等;
- 注冊成為低權(quán)限賬號后越權(quán)到管理員權(quán)限��;
- 發(fā)送驗證碼后回顯到返回數(shù)據(jù)包中�����;
- 忘記密碼輸入合法用戶后,通過驗證碼漏洞或者篡改認(rèn)證手機號、郵箱�,重置密碼登錄。
銳捷RG-UAC統(tǒng)一上網(wǎng)行為管理審計系統(tǒng)賬戶硬編碼漏洞
CNVD-2021-14536銳捷RG-UAC統(tǒng)一上網(wǎng)行為管理審計系統(tǒng)存在信息泄露漏洞���,攻擊者可以通過審查網(wǎng)頁源代碼獲取到用戶賬號和密碼��,導(dǎo)致管理員用戶認(rèn)證信息泄露�。title:"RG-UAC登錄頁面"&& body="admin"�����;app:"銳捷RG-UAC統(tǒng)一上網(wǎng)行為管理審計系統(tǒng)"����;LinkDCS系列監(jiān)控賬號密碼信息泄露漏洞 CVE-2020-25078Fofa app:"D_Link-DCS-2530L"�;訪問路徑:/config/getuser?index=0顯示賬號密碼:Kyan網(wǎng)絡(luò)監(jiān)控設(shè)備賬號密碼泄露漏洞fofatitle:"platform - Login";harbor注冊功能邏輯漏洞CVE-2019-16097此漏洞屬于一個嚴(yán)重的權(quán)限提升漏洞���,該漏洞使任何人都可以在其默認(rèn)設(shè)置下獲得管理員權(quán)限���,在注冊時�,post包最后加上"has_admin_role":true��,即可注冊成為管理員���。在post包最后加上"has_admin_role":true,注冊成功:使用注冊后賬號密碼即可訪問獲得管理員權(quán)限�。Nacos身份驗證繞過(CVE-2021-29441)Nacos是阿里巴巴推出來的一個新開源項目,是一個更易于構(gòu)建云原生應(yīng)用的動態(tài)服務(wù)發(fā)現(xiàn)�、配置管理和服務(wù)管理平臺,致力于幫助發(fā)現(xiàn)����、配置和管理微服務(wù)。Nacos提供了一組簡單易用的特性集��,可以快速實現(xiàn)動態(tài)服務(wù)發(fā)現(xiàn)��、服務(wù)配置��、服務(wù)元數(shù)據(jù)及流量管理����。該漏洞發(fā)生在nacos在進行認(rèn)證授權(quán)操作時,會判斷請求的user-agent是否為”Nacos-Server”��,如果是的話則不進行任何認(rèn)證。開發(fā)者原意是用來處理一些服務(wù)端對服務(wù)端的請求�。但是由于配置的過于簡單,并且將協(xié)商好的user-agent設(shè)置為Nacos-Server�����,直接硬編碼在了代碼里�����,導(dǎo)致了漏洞的出現(xiàn)��。利用這個未授權(quán)漏洞��,攻擊者可以獲取到用戶名密碼等敏感信息:burp中���,proxy->options->Matchand Peplace模塊將user-agent設(shè)置為Nacos-Server:ApacheShiro身份驗證繞過漏洞(CVE-2020-1957)ApacheShiro是一款開源安全框架����,提供身份驗證���、授權(quán)��、密碼學(xué)和會話管理�。Shiro框架直觀、易用���,同時也能提供健壯的安全性�。在ApacheShiro 1.5.2以前的版本中�����,在使用Spring動態(tài)控制器時���,攻擊者通過構(gòu)造"..;"這樣的跳轉(zhuǎn),可以繞過Shiro中對目錄的權(quán)限限制��。直接訪問/admin目錄302跳轉(zhuǎn)���,使用/xxx/..;/admin/繞過目錄權(quán)限限制:AppWeb身份驗證繞過漏洞(CVE-2018-8715)AppWeb是EmbedthisSoftware LLC公司負(fù)責(zé)開發(fā)維護的一個基于GPL開源協(xié)議的嵌入式WebServer��。他使用C/C++來編寫��,能夠運行在幾乎現(xiàn)今所有流行的操作系統(tǒng)上�����。當(dāng)然他最主要的應(yīng)用場景還是為嵌入式設(shè)備提供WebApplication容器����。AppWeb可以進行認(rèn)證配置,其認(rèn)證方式包括以下三種:- basic傳統(tǒng)HTTP基礎(chǔ)認(rèn)證����;
- digest改進版HTTP基礎(chǔ)認(rèn)證,認(rèn)證成功后將使用Cookie來保存狀態(tài)���,而不用再傳遞Authorization頭���;
其7.0.3之前的版本中����,對于digest和form兩種認(rèn)證方式,如果用戶傳入的密碼為null(也就是沒有傳遞密碼參數(shù))����,AppWeb將因為一個邏輯錯誤導(dǎo)致直接認(rèn)證成功,并返回session����。利用該漏洞需要知道一個已存在的用戶名,當(dāng)前環(huán)境下用戶名為admin���。Authorization:Digest username=admin 可見�����,因為我們沒有傳入密碼字段���,所以服務(wù)端出現(xiàn)錯誤��,直接返回了200,且包含一個session:設(shè)置這個session到瀏覽器����,即可正常訪問需要認(rèn)證的頁面:ApacheAirflow 身份驗證繞過(CVE-2020-17526)ApacheAirflow是一款開源的,分布式任務(wù)調(diào)度框架�。默認(rèn)情況下,ApacheAirflow無需用戶認(rèn)證���,但管理員也可以通過指定webserver.authenticate=True來開啟認(rèn)證���。在其1.10.13版本及以前,即使開啟了認(rèn)證��,攻擊者也可以通過一個默認(rèn)密鑰來繞過登錄�,偽造任意用戶���。首先,我們訪問登錄頁面����,服務(wù)器會返回一個簽名后的Cookie:然后,使用flask-unsign這個工具來爆破簽名時使用的SECRET_KEY:成功爆破出Key是temporary_key�����。使用這個key生成一個新的session�,其中偽造user_id為1:在瀏覽器中使用這個新生成的session,可見已成功登錄:ApacheCouchdb 遠(yuǎn)程權(quán)限提升(CVE-2017-12635)ApacheCouchDB是一個開源數(shù)據(jù)庫�����,專注于易用性和成為“完全擁抱Web的數(shù)據(jù)庫”����。它是一個使用JSON作為存儲格式,java script作為查詢語言��,MapReduce和HTTP作為API的NoSQL數(shù)據(jù)庫�,應(yīng)用廣泛。如BBC用在其動態(tài)內(nèi)容展示平臺,CreditSuisse用在其內(nèi)部的商品部門的市場框架���。CVE-2017-12635�����,是由于Erlang和java script對JSON解析方式的不同�����,導(dǎo)致語句執(zhí)行產(chǎn)生差異性導(dǎo)致的���。這個漏洞可以讓任意用戶創(chuàng)建管理員:{"error":"forbidden","reason":"Only_admin may set roles"}發(fā)送包含兩個Roles的數(shù)據(jù)包�����,即可繞過限制:成功創(chuàng)建管理員��,賬戶密碼均為vulhub�����,成功登錄:Influxdb是一款著名的時序數(shù)據(jù)庫�,其使用jwt作為鑒權(quán)方式��。在用戶開啟了認(rèn)證,但未設(shè)置參數(shù)shared-secret的情況下�,jwt的認(rèn)證密鑰為空字符串,此時攻擊者可以偽造任意用戶身份在Influxdb中執(zhí)行SQL語句���。"http://your-ip:8086/debug/vars"即可查看一些服務(wù)信息�����,但此時執(zhí)行SQL語句則會出現(xiàn)401錯誤:借助http://jwt.io/來生成jwttoken:其中����,admin是一個已經(jīng)存在的用戶����,exp是一個時間戳,代表著這個token的過期時間�����,你需要設(shè)置為一個未來的時間戳���。Googlehacking : intitle:”DVR Logion”訪問device.rsp?opt=user&cmd=list���,并設(shè)置Cookie:uid=admin�,即可返回此設(shè)備的明文管理員憑證����。ApacheAPISIX 默認(rèn)密鑰漏洞(CVE-2020-13945)ApacheAPISIX是一個高性能API網(wǎng)關(guān)。在用戶未指定管理員Token或使用了默認(rèn)配置文件的情況下�����,ApacheAPISIX將使用默認(rèn)的管理員:"Token edd1c9f034335f136f87ad84b625c8f1"攻擊者利用這個Token可以訪問到管理員接口���,進而通過script參數(shù)����,來插入任意LUA腳本并執(zhí)行���。利用默認(rèn)Token增加一個惡意的router,其中包含惡意LUA腳本:Druid控制臺seesion泄露獲取后臺權(quán)限:某次項目�����,在session監(jiān)控中發(fā)現(xiàn)大量session后,在url監(jiān)控里面找到一個感覺最可能帶有session訪問且會有對應(yīng)數(shù)據(jù)的leftNavProfession.jsp路徑�,拼接域名后,訪問鏈接并使用burp抓包�。然后將session監(jiān)控里面的所有session提取出來,放到burp爆破����,最終爆破出來幾個返回長度不一樣數(shù)據(jù)包,都為有效session��。其中數(shù)據(jù)包最大的是超級管理員權(quán)限��,其余權(quán)限不同的賬號返回數(shù)據(jù)包大小也有區(qū)別���。"http://baijiahao.baidu.com/s?id=1660969810444268979&wfr=spider&for=pc"Springboot的http認(rèn)證信息泄露Springboot存在Httptrace或者/actuator/httptrace接口��,可能泄露cookie�,通過提取其中的認(rèn)證信息訪問對應(yīng)系統(tǒng)���,獲取相應(yīng)權(quán)限�。更多Springboot相關(guān)漏洞可訪問:"http://github.com/LandGrey/SpringBootVulExploit"外網(wǎng)系統(tǒng)點擊鏈接后訪問內(nèi)網(wǎng)IP碰到過一些系統(tǒng)���,在登錄或使用其它功能時指向如172.16.*.*����、192.168.*.*、127.0.0.1之類的內(nèi)網(wǎng)ip���。如下圖案例�����,點擊登錄功能會指向127.0.0.1:8080/axis2/�,通過burp中proxy->options->Matchand Peplace模塊設(shè)置規(guī)則后�����,將127.0.0.1:8080轉(zhuǎn)化為目標(biāo)外網(wǎng)ip�,成功登錄。某些站點訪問時顯示“禁止外部ip訪問”�����、“登錄ip不是白名單ip”等�����。可以使用burp插件繞過���,偽造ip為127.0.0.1��、0.0.0.0之類的ip進行繞過���。"http://github.com/swagkarna/Burp-FakeIp"
|
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
