0x00: 基本目標
目標:xxx.target.com
目標漏洞:sql注入,rce,任意文件讀取等
基礎信息:
可以注冊
可以登錄
系統為:宜信開源系統davinci (
https://github.com/edp963/davinci)
版本:0.3.0-beta.9 release
0x01 可能存在的問題
基本邏輯問題
1,創建計划任務處可以獲取其他用戶的用戶名和郵箱
關注的重點邏輯問題:
1,設法越權進入他人的項目(盜取信息)
2,設法越權獲取他人的sources 信息 (沒有越權)
3,設法越權修改用戶密(沒有找回密碼功能)
可能可以突破的點:
1,看代碼目標可以上傳文件,解析xlxs,使用了poi 3.9 ,可能存在xxe,但好像上傳不了xlsx,需要繼續測試
2,source 功能中可以填寫遠程mysql 地址,聯想可以用mysql 客戶端任意文件讀取,后續分析:但是目標用的是mysql connector 5.x 不在影響版本內。(mysql-connector-java 6.0.3-8.0.15)
3,因為填寫的是jdbc,聯想jdbc 反序列化。后續分析:利用urldns 雖然成功了,已知的gadget沒有可利用的,唯一可利用的spring-tx 也因為缺少javax.transaction-api jar包 而斷送了唯一的希望。需要從給出的jar包中挖一條新的gadget
0x02 深入研究:
1,xlsx的xxe 繼續研究看看
2,從已知的jar包中挖一條新的gadget
3,系統源代碼繼續審計
后續經過仔細研究,xxe確實可以(有個地方傳參理解錯了),xxe獲取到的java版本為1.8.0_144,難怪我用 jre8u20的 gadget打不了,而且xxe只能oob,讀多幾個 / 就歇菜了
xxe 的利用只能用來盲打內網了,內網IP為10.52.9.11
gadget太菜了,挖不到。
0x03 總結
總的來說就一個可能可以rce的點,鏈子待挖掘