从spring boot泄露到接管云服务器平台

打印 上一主题 下一主题

主题 780|帖子 780|积分 2340

0x1前言
在打野的时候意外发现了一个站点存在springboot信息泄露,之前就有看到一些文章可以直接rce啥的,今天刚好试试。通过敏感信息发现存在accesskey泄露,就想直接通过解密,获取敏感信息,接管云平台。
[img=720,550.5175292153589]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202304111425690.png[/img]
[img=720,182.18623481781376]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202304111425692.png[/img]
首先说下这个漏洞的产生。主要是因为程序员开发时没有意识到暴露路由可能会造成安全风险,或者没有按照标准流程开发,忘记上线时需要修改/切换生产环境的配置。我们是可以通过访问/v2/api-docs和/swagger-ui.html去验证是否存在的。
0x2漏洞利用
本次我们想获取/actuator/env里面的明文信息,那么有三种方法可以获取。
第一种:通过/jolokia接口获取明文
利用条件:

  • 目标网站存在 /jolokia 或 /actuator/jolokia 接口
  • 目标使用了 jolokia-core 依赖(版本要求暂未知)
第二种:通过/env接口发送明文到你vps上

  • 可以 GET 请求目标网站的 /env
  • 可以 POST 请求目标网站的 /env
  • 可以 POST 请求目标网站的 /refresh 接口刷新配置(存在spring-boot-starter-actuator依赖)
  • 目标使用了 spring-cloud-starter-netflix-eureka-client 依赖
  • 目标可以请求攻击者的服务器(请求可出外网)
第三种:和第二种差不多,只是方式不一样

  • 通过 POST /env 设置属性触发目标对外网指定地址发起任意 http 请求
  • 目标可以请求攻击者的服务器(请求可出外网)
第四种:通过/heapdump下载到本地解密
1、可正常 GET 请求目标 /heapdump 或 /actuator/heapdump 接口
而我这边采用第四种方法去获取。先下载一个heapdump文件。

其实我看了好多篇文章,使用jvisualvm.exe尝试去解开heapdump,但是都无法正常获取,可能也是我操作有问题,后续使用EclipseMemory Analyzer,完美解决。
[img=720,532.9512893982808]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202304111425694.png[/img]
使用Eclipse Memory Analyzer去查询对应的字段:
  1.  select * from java.util.LinkedHashMap $Entry x WHERE (toString(x.key).contains("accessKeySecret"))
复制代码
注意:这边默认是不支持模糊查询的,必须字段完全匹配才能查询到字段。如仅输入accessKey是查询不到accessKeySecret的字段值的。
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)
0x3接管云平台
成功获取accessKeySecret和accessKeyId后,接下来我们就可以使用cf进行接管云平台了。
链接:https://github.com/teamssix/cf
使用cf config配置accessKeySecret和accessKeyId:
[img=720,172.734]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202304111425695.png[/img]
配置完直接一键接管:cf alibaba console
[img=720,86.6390041493776]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202304111425696.png[/img]
这边会生成地址和账号密码,拿去登录即可获取云平台账号权限:
[img=720,338.121546961326]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202304111425697.png[/img]
这边可以看到,他是有5台服务器实例的,直接获取5台服务器权限。
0x4结尾
其实我之前不只尝试了第四种,而是被迫使用第四种方式获取明文信息。尝试前面三种,都是以500报错结束,具体也不知道是什么原因,有大佬知道的可以教一下。
[img=720,452.8214971209213]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202304111425698.png[/img]
本文其实只是想让大家了解一下一些漏洞和一些信息泄露的用法,其实很多东西都是没有含金量的,说破不值钱。自己最近接触了很多刚开始学习安全的人,都不知道从何入手。对于刚刚开始学习的人,个人建议可以多看看漏洞原理和别人的文章,从中吸取经验和渗透思路,很多实力其实都是经验累积出来的。可能有时候看到别人文章,会觉得就是一帆风顺的,很简单,但是其实很多人只是没把自己走了多少弯路,踩了多少坑说出来罢了。本人也只是刚开始摸索的小白,本身学习是学无止境的,纯靠兴趣去驱动。
更多靶场实验练习、网安学习资料,请点击这里>>
 

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

圆咕噜咕噜

金牌会员
这个人很懒什么都没写!

标签云

快速回复 返回顶部 返回列表