一场攻防演练刚结束,公司通知下来客户资产被打进内网了。
公司叫排查一下攻击队是怎么进去的,听说是jdbc反序列化漏洞,但是后续我们测试,发现漏洞点存在后台,是必须登录系统才可操作。
后续我们排查是攻击队找到可以添加后台用户的接口,并登录进行漏洞利用的。
分析access.log日志
日志请求是真的多的,眼睛都看花了,也没有找到攻击队打反序列漏洞的路径,有可能他们将日志删除了
终于在日志中发现一条请求 addUser 很可能是攻击队添加用户的接口,分析一波
请求如下,参数有user pass 等关键字,很明显是添加用户的接口了
POST /xx/xx/addUser HTTP/1.1" 200 47 "{"userName":"xxx","userCode":"xxx","password":"xxx","phone":"xxx"}"接着构造参数,发送请求,成功添加到管理员用户,并且不需要任何的权限,直接未授权添加用户。
接着联系开发,看数据是否添加上用户
可以看到我们添加的admin888已经存在数据中
既然addUser这个接口可以添加用户,就可以叫开发在数据查询最近新增用户的记录
厚码见谅,在数据库中有两个新增的用户,在12,18号都进行了操作
web日志都被攻击队清理过了,不好找到这两个新增用户,都进行什么操作
在数据库一个表中记录所有请求的记录,攻击队没有发现这个日志,所以没被删
查询到用户执行的操作内容为jwt加密的,解密发现就是jdbc链接,其中IP就是攻击队的构造恶意的mysql服务,也就是打jdbc反序列化漏洞点。
至此成功梳理了攻击队的整个攻击流程。
1、通过接口未授权添加了管理员用户
2、后台存在jdbc反序列漏洞
参考文章
https://www.mi1k7ea.com/2021/04/23/MySQL-JDBC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E/
https://mp.weixin.qq.com/s/YDQ1_fCwE7UEYqfYy9r7NQ
https://github.com/fnmsd/MySQL_Fake_Server
