1褥紫、起因
日常閑逛,翻到了某后臺系統(tǒng)
先是日常手法操作了一番猪叙,弱口令走起
admin/123456 yyds!
U1s1仁卷,這個后臺功能點(diǎn)少的可憐穴翩,文件上傳點(diǎn)更是別想
不過那個備份管理的界面引起了我的興趣,似乎有點(diǎn)意思
filename參數(shù)后面直接跟上了文件名锦积,這很難讓人不懷疑存在任意下載漏洞
抓包芒帕,放到burp中,發(fā)現(xiàn)果然存在任意文件下載
2丰介、經(jīng)過
經(jīng)過fofa收集背蟆,我發(fā)現(xiàn)這是一個小通用,正當(dāng)我打算興致勃勃的打一發(fā)別的目標(biāo)時哮幢,卻發(fā)現(xiàn)這只是個后臺洞带膀,backup功能點(diǎn)需要管理員權(quán)限
直接302跳轉(zhuǎn)了,暈
運(yùn)用了常規(guī)手法橙垢,也bypass失敗了
好了本砰,此處漏洞挖掘到此結(jié)束
身為一個有菜又愛玩的家伙,我怎么可能輕言放棄呢钢悲?
本來打算批量掃備份拿源碼点额,但后面發(fā)現(xiàn),github的鏈接就在后臺介紹處莺琳。还棱。。
好家伙惭等,我直呼好家伙珍手,真是踏破鐵鞋無覓處
拿到源碼,趕緊在本地翻配置文件
spring+shiro的典型組合辞做,嗯琳要,剛好沒學(xué)到過
憑著典型的腳本小子的思想,我考慮到了shiro的權(quán)限分配的較死秤茅,從邏輯層繞過估計(jì)是中彩票
想到f12sec有位師傅發(fā)表過shiro權(quán)限繞過的文章稚补,可以利用shiro權(quán)限繞過,達(dá)到前臺任意下載
但是嘗試了網(wǎng)上公開的幾種exp框喳,發(fā)現(xiàn)均失敗了
/;/------>302跳轉(zhuǎn)
/;a/------>302跳轉(zhuǎn)
末尾加上"/"------>302跳轉(zhuǎn)
/fdsf;/../------>302跳轉(zhuǎn)
怎么回事小老弟课幕,我的200呢w(?Д?)w
最后,發(fā)現(xiàn)是我的姿勢錯了五垮,在https://www.freebuf.com/vuls/231909.html中乍惊,我找到了答案
先了解點(diǎn)前置知識(大佬繞過):
Shiro的URL路徑表達(dá)式為Ant 格式,路徑通配符支持?***放仗。
?:匹配一個字符
*:匹配零個或多個字符串
**:匹配路徑中的零個或多個路徑
上面的文章里解釋的很清楚了润绎,如果URI中存在;號的話,則會刪除其后面的所有字符诞挨。/fdsf;/../hello/1/最終也就變成了/fdsf莉撇。
而我們這款web應(yīng)用遇到不符合的目錄就直接跳轉(zhuǎn)了,所以亭姥,想要利用這個權(quán)限繞過稼钩,必須要有以下條件
1、存在达罗,并且是anon權(quán)限的目錄
2坝撑、要以路徑通配符**結(jié)尾
很幸運(yùn),這款web應(yīng)用中就有這樣的目錄
經(jīng)過測試粮揉,images目錄可行
然后手動構(gòu)造巡李,burp發(fā)包,蕪湖扶认,成功前臺任意下載侨拦!
3、結(jié)果
很多對漏洞的理解是基于想象的辐宾,如果有不妥當(dāng)之處狱从,請各位大佬指出嘿嘿
另外我這邊整理了一些最新的【網(wǎng)絡(luò)安全學(xué)習(xí)資料·攻略】
