事情起源于邀请我进行授权渗透测试。这是第一个给我报酬的项目,我想做最好的事情。
目标客户是15个以上国家有业务的公司,世界上有120个以上的子公司和1200万以上的用户
。他们给了我域名和用户名和密码,现在就开始吧。首先,我认为这个网站很大,保护也很
好。有很多功能需要测试,配置文件也很多,所以直接开始目录扫描,看看背后有什么。有
些xml文件配置文件冒出,意味着这可能有tomcat。看了几篇xml文件,我发现的标签,灵感
告诉我们,试试burp来GETpost请求,看看服务方面的反应。
我直接想到最坏的情况是有XXE的漏洞,所以我直接搜索了几个XXE的walletloads。我在po
st请求中添加了Content-Type:text/xml文件(这正好是服务方面想要的,相当于告诉我发送了
什么)我直接复制了得到 /etc/passwd文件的walletload,试着读这个文件。随后发生了这样的
事情。响应代码是200。服务方面似乎想读/etc/passwd的内容,形成xml文件作为响应,但
该文件的第33行不太符合,有可能阻碍分析。现在我们知道,/etc/passwd文件大约有33行
,我问客户,客户确认这个文件确实有33行。因此,接下来的事情是得到内容结束。到目
前为止,在一个脆弱的挖掘项目中,这可能不会被认为是poc。因为我们不能用这个造成损
害。所以你现在必须继续挖掘,直到你发现新的。所以我生成了SSRFpost请求,那个确实
有效!我了解到tomcat的默认端口是8080,从火狐浏览器的控制面板发现,最初的walletl
oadpost请求返回了405个错误,显示了这一点。
st请求中添加了Content-Type:text/xml文件(这正好是服务方面想要的,相当于告诉我发送了
什么)我直接复制了得到 /etc/passwd文件的walletload,试着读这个文件。随后发生了这样的
事情。响应代码是200。服务方面似乎想读/etc/passwd的内容,形成xml文件作为响应,但
该文件的第33行不太符合,有可能阻碍分析。现在我们知道,/etc/passwd文件大约有33行
,我问客户,客户确认这个文件确实有33行。因此,接下来的事情是得到内容结束。到目
前为止,在一个脆弱的挖掘项目中,这可能不会被认为是poc。因为我们不能用这个造成损
害。所以你现在必须继续挖掘,直到你发现新的。所以我生成了SSRFpost请求,那个确实
有效!我了解到tomcat的默认端口是8080,从火狐浏览器的控制面板发现,最初的walletl
oadpost请求返回了405个错误,显示了这一点。
是的,非常有趣的现象,没有错误,反而列出了目录。我从来没有在任何wp中见过这种奇
怪的现象,是非常宝贵的!你知道为什么会发生吗?之前不知道,过了一天才看到这个:
this好像是java的问题,要求目录而不是档案的时候列出目录内容。所以现在我不再猜目录
和猜文件,而是花时间手动浏览很多文件夹以得到 更大的影响。最终,我发现了很多私钥
、文件配置、敏感数据、第三方服务密码、客户信息等。的双曲馀弦值。的双曲馀弦值。
但而,最重要的发现是:AWS认证密钥,我试图通过AWS元数据得到 一些数据,但我发
现我没有权限。
怪的现象,是非常宝贵的!你知道为什么会发生吗?之前不知道,过了一天才看到这个:
this好像是java的问题,要求目录而不是档案的时候列出目录内容。所以现在我不再猜目录
和猜文件,而是花时间手动浏览很多文件夹以得到 更大的影响。最终,我发现了很多私钥
、文件配置、敏感数据、第三方服务密码、客户信息等。的双曲馀弦值。的双曲馀弦值。
但而,最重要的发现是:AWS认证密钥,我试图通过AWS元数据得到 一些数据,但我发
现我没有权限。