0x00 前言
有技術交流或滲透測試培訓需求的朋友歡迎聯系QQ/VX-547006660,需要代碼審計、滲透測試、紅藍對抗網絡安全相關業務可以看置頂博文
0x01 起因
朋友給某甲方做滲透測試,奈何甲方是某知名保險,系統太耐艹,半天不出貨
兄弟喊我來一塊來看,於是有了本文
0x02 客戶端RCE一處
朋友把靶標發給我看了下,除了兩個下載鏈接啥也沒有
鏈接下載下來的東西如圖,看了下目錄里面還有JRE,那么很顯然,這客戶端exe就是個JAVA啟動命令執行套殼
隨后打開program文件夾,逆了一下里面的Jar
full_path前面定義為用戶更新時輸入的路徑
那么很簡單了full_path可控,誘導用戶安裝更新時路徑出輸入注入命令即可
D:\software && ping hacker's IP
0x03 發現Webservice Soap接口
光這一個水來的客戶端RCE肯定是不夠的,接下來繼續挖掘服務端
看了看沒別的功能點,我就簡單FUZZ了一下這個系統三級目錄
最后FUZZ出來了一個webservice接口
http://****.xxxxxx.cn/xxxx/service
拼接出其wsdl接口
http://****.xxxxxx.cn/xxxx/service/BusinessService?wsdl
但導入SoapUI或AWVS的調試模塊進行調試時卻發現其導入失敗
仔細看了下WSDL返回的信息。。。媽的WSDL Import Location和Soap Address Location都是內網域名
不過幸運的是,該系統的外網域名拼接路徑后也可以訪問到這個WSDL接口
但是自動化的Soap接口調試工具是“看見什么就import什么”,這可讓人犯了難
0x04導入SoapUI
思考了一會,突然想起來BurpSuite可以把RequestBody和ResponseBody的值進行替換,hhh,那我們就有辦法導入了
在Burpsuite的Porxy Option中增加Match&Replace規則
將WSDL Import Location和Soap Address Location處對應的內網域名都替換為外網域名
隨后在SoapUI中設置Proxy
打開代理,再次添加WSDL,ResponseBody的內網域名成功被替換,WSDL導入成功~
0x05 XXE挖掘
導入接口后,發現有參數為dataXML,心中暗喜XXE估計是送上門了
直接BurpSuite中利用XXE OOB測試
OOB成功,XXE到手,收攤~
0x06 總結
堅持一下,守得雲開見月明,漏洞就在眼前~