Xray撿洞中的高頻漏洞

​

 | 作者：Ocean，轉載於FreeBuf.COM

 

用 X-Ray 刷洞發現一些出現頻率高的漏洞，把漏洞原理和利用方式稍作整理，按照危害排名，低危漏洞可以收集一些信息然后深度利用變高危。

 

直接利用

Shiro默認key

 

Xray提示：shiro/shiro/default-key

 

Apache Shiro框架提供了記住密碼的功能（RememberMe），用戶登錄成功后會生成經過加密並編碼的cookie。

 

在服務端對rememberMe的cookie值，先base64解碼然后AES解密再反序列化，就導致了反序列化RCE漏洞。

 

那么，Payload產生的過程：命令=>序列化=>AES加密=>base64編碼=>RememberMe Cookie值 在整個漏洞利用過程中，比較重要的是AES加密的密鑰，shiro 使用硬編碼保存key，如果沒有修改的話可能會造成漏洞。

 

可以使用工具：https://xz.aliyun.com/forum/upload/affix/shiro_tool.zip

 

使用方法

java - shiro_tool.jar https://xx.xx.xx.xx/

直接 rce

 

Sql注入

Xray提示：sqldet/blind-based/default等

 

sqlserver注入漏洞

123456'and/**/convert(int,sys.fn_sqlvarbasetostr(HashBytes('MD5','1480008958')))>'0

 

xray會提供注入包，復制到brup放包就行

 

備份文件&敏感目錄泄露

 

Xray提示：

• dirscan/backup/default（備份文件）

• dirscan/admin/phpmyadmin（phpmyadmin登錄界面）

• dirscan/admin/default（admin登錄界面）

• brute-force/form-brute/default（暴力猜解）

• dirscan/sensitive/upload（文件上傳界面）

如果可以通過爆破猜到密碼的話，挖挖后台的洞，危害就高了

 

Druid未授權訪問

 

Xray提示：druid-monitor-unauth

1. Druid是阿里巴巴數據庫事業部出品，為監控而生的數據庫連接池

2. Druid提供的監控功能，監控SQL的執行時間、監控Web URI的請求、Session監控

 

當開發者配置不當時就可能造成未授權訪問下面給出常見Druid未授權訪問路徑

/druid/websession.html
/system/druid/websession.html
/webpage/system/druid/websession.html(jeecg)

當遇到需要登錄的Druid是可能存在弱口下面給出Druid常見登錄路徑

/druid/login.html
/system/druid/login.html
/webpage/system/druid/login.html

http://60.220.xx.xx:18787/druid/index.html

如果直接交就是一個未授權的低危漏洞，可以通過以下方法深度利用

 

通過泄露的Session登錄后台

 

session頁面會輸出所有登陸用戶的session

 

​

 

這些sessionID中，包括過期的和普通用戶的，所以需要遍歷找出管理帳號session或者存活用戶

 

直接在/druid/websession.html頁面ctrl+a復制整個頁面內容到EmEditor

 

​

 

刪除紅框內的，點擊制表符

 

​

 

這樣就可以直接復制了，也可以通過其他方式處理

 

​

 

然后再到URI監控處找一條看起來像登錄后台才能訪問的路徑（可用home等關鍵詞快速定位）

 

​

 

然后去burp爆破

 

​

 

此處設置爆破，將剛才得到的Session值填入

 

因為此處的session值存在一些特殊符號需要關閉burp默認的url編碼

 

​

 

status狀態為200即為有效的session，在瀏覽器f12替換或者使用改cookie的插件改成有效cookie再登陸進入后台測試

 

通過URI監控測試未授權越權

由於有的Druid可能Session監控處沒有東西，可以通過URI監控測試未授權越權

 

​

 

https://www.t00ls.cc/articles-62541.html

 

 

XSS

不多說

 

有條件利用

 

phpstudy-nginx解析漏洞

 

Xray提示：poc-yaml-phpstudy-nginx-wrong-resolve

phpstudy 存在 nginx 解析漏洞，攻擊者能夠利用上傳功

 

將包含惡意代碼的合法文件類型上傳至服務器

 

從而造成任意代碼執行的影響

 

首先上傳圖片，然后利用解析漏洞

http://192.168.3.142:8088/123.gif/xxx.php

https://www.cnblogs.com/Yang34/p/13653893.html

 

 

dedecms-cve-2018-6910

Desdev DedeCMS 5.7版本中存在安裝絕對路徑泄露

遠程攻擊者可通過對include/downmix.inc.php或inc/inc_archives_functions.php文件發送直接請求利用該漏洞獲取完整路徑

 

​

 

雞肋

 

Apache Tomcat Examples未刪除

http://183.195.xx.xx/examples/websocket-deprecated/

https://www.freebuf.com/column/189435.html

沒什么危害，需要examples目錄下有jsp文件才能利用

 

go-pprof資源監控信息泄露

 

Xray提示：go-pprof-leak

 

服務器資源監控信息泄露

 

/DEBUG/PPROF 信息公開手動調試的不合法輸入可導致 信息公開

https://vuldb.com/zh/?id.141032

https://211.70.248.109/debug/pprof/

無法利用，只能收集一些信息，低危都不給過

 

ELSE

 配置xray反連

https://docs.xray.cool/#/configration/reverse

​