1.前言
在挖某家SRC的时候,通过域名历史解析找到一个IP,然后通过各种问题组合接管云控制台,最后告知打歪了,今天分享一波。有点标题党了,这个流程实际上也不是很难(
2.从druid入手
拿到了一个历史解析IP,扫一波全端口,可以看到还是有几个WEB资产,其中一个WEB资产爆druid未鉴权,一个则是index.zip泄露。还有一个GitLab,先测了一遍GitLab常见漏洞,未果。后续实测index.zip里面全是前端源码,没啥意义。那就只能看看druid了。
一般druid也就看看URI和Session两个地方,Session是空的,本来想研究一波URI接口有没有啥未鉴权问题,这里由于前期扫了一波目录,所以记载了很多乱七八糟的uri,对后续测试还造成了一点点干扰。
在对里面的接口uri进行测试的时候,我先是发现里面一些未鉴权接口使用fastjson来处理json传参
经典的删个花括号爆fastjson错误。那么具体是哪个版本呢?尝试调用一些经典的payload进行探测,会发现禁止autoType的异常,那么就猜测是1.2.68以上,缩小一下payload探测范围,使用下面的payload进行报错探测
{@type":"java.lang.AutoCloseable"
果然是1.2.68,不高不低,一个最经典的利用方法就是打JDBC
成功收到外联,能跑通,那接下来好办了,可以把allowUrlInLocalInfile属性和allowLoadLocalInfile属性打开,从而进行可回显SSRF或者文件读取,当然直接打链子也是可以的,可以使用下面这个Mysql蜜罐辅助:
https://github.com/fnmsd/MySQL_Fake_Server
先读个passwd证明一下吧
由于是云资产,本来想触发SSRF读一下ram拿临时凭据的,结果压根没配置ram,那算了,读个hostname
然后由于7001端口开放了个gitlab,所以打算读一下gitlab root的默认密码,一个小知识,GitLab安装的时候会给root用户设置一个默认密码,其密码信息一般保存在这个文件里:
/etc/gitlab/initial_root_password
但是最后也没成功登上去,那还能怎么办呢?这里还是打打JDBC反序列化吧。
3.失败的反序列化,但最终拿下控制台
既然常规手法走不通,先打个URLDNS试试看吧
URLDNS链子能打通,接下来是gadget探测的问题,仙贝们fastjson gadget探测已经有过很多探索,也已经有了比较成熟的工具,例如
https://github.com/a1phaboy/FastjsonScan
等等,不过用这个工具没探测出gadget。
然后就想到,既然URLDNS链能用,其实可以改造URLDNS链去进行gadget探测,详情可以参考这篇文章:
https://mp.weixin.qq.com/s/KncxkSIZ7HVXZ0iNAX8xPA
也已经有实现好的工具了:
https://github.com/kezibei/Urldns
(Jyso好像也支持URLDNS探测gadget)
然后又遇到一个很尴尬的问题,上面这个罐子默认只对ysoserial做了适配,要适配其它工具的话还得改改这罐子的代码,作为一个脚本小子真是汗流浃背了。
然后根据目标的java环境试了几个可能的链子,没用,就很邪门,索性就放弃了。其实这里是猪脑过载了,后面拿下控制台之后才反应过来我是用fastjson问题进行利用的,而fastjson的toString()是可以和原生反序列化的BadAttributeValueExpException串起来的,虽然这里是较高版本的Fastjson,要面临一个resolveClass绕过的问题,不过理论上应该是能利用上的,参考
https://paper.seebug.org/2067/
总之,链子打不通,应该咋办呢,思来想去还是觉得能把源码脱下来就好了,因为发现有些接口能拿到和储存桶有关的信息,一些文件上传接口也和云有关,源码里应该是有AK/SK的硬编码的。
我通过读取目标机器上的/proc/self/environ,读取当前进程的环境信息,可以确认当前java进程的运行路径在/root/xxxxx/xxxxx_jar_new
之后还要确认jar包名称,这里思路就很多了,看history,寻找一些.sh文件(一般开发者喜欢写个.sh文件来运行或关闭jar)等等。不过这些我都没搞,很简单,druid作为一个监控状态的组件,其实把classpath信息已经给出来了
这样就拿到了jar包名字,在实战中如果师傅们遇到java站点的文件读取、下载问题,并且用常规读取路径难以确定jar包名称的话,可以尝试从druid里再搜集一些信息(前提是有)。也可以试试我之前提到的小tricks,也即文件下载、读取与目录遍历伴生出现的问题。
总之,最后可以用mysql蜜罐下载
/root/xxxxx/xxxxx_jar_new/xxxxx.jar
由于这玩意太大,直接504了。不过这个蜜罐确实强大,作者说测试了50MB的数据没问题,我想现在打包成jar的javaweb应用动辄100MB以上,真能顺利下载下来吗,结果最后也是成功下载下来了,差不多150MB,很强悍
进来之后也是先看看漏洞成因,某个控制器由于涉及鉴权,恰好是拦截器的漏网之鱼,而这个控制器里的某个方法又恰好接受JSONObject类型的RequestBody,又恰好使用了fastjson 1.2.68这个卡在中间的版本处理json,所以被我们拿下了。
再看看配置文件能不能找到我们梦寐以求的AK/SK呢?
有AK/SK,那么权限几何呢?脚本小子掏出CF试试一把梭。
直接也是最高权限,直接接管控制台
4.结语
奇思妙想很多,不过最后还是简单粗暴的拖源码拿AK/SK结束战斗。主要是对fastjson 1.2.68打JDBC相关问题的利用吧。此外GitLab初始密码位置、druid中的某些信息这类细枝末节的信息,虽然在本次攻击流程中不一定发挥了作用,但是说不定哪天就能用得上了,还是可以积累一下的。