Druid未授权漏洞实战利用
本文章仅用于渗透交流学习,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任
0x00 前言
此文章是在某SRC的某个企业的渗透实战,干货不是很多,但是相信对你的实战思路绝对是有帮助的。
0x01 Druid未授权漏洞发现
对于Druid未授权访问,直接用扫描工具就可以扫描出来,有的不是在网站根目录下,会有二级目录,我这个是直接挂的xray的被动扫描扫出来的。
http://127.0.0.1/druid/weburi.html
泄露了网站后台功能模块的url地址,大多数都是一些api接口,有时候也会泄露一些敏感文件
http://127.0.0.1/druid/websession.html
这里泄露的主要是登录用户的session,不管是登陆成功的,没登陆成功的,还是失效的都会储存在这里.
0x02 Druid泄露点利用
如果是单纯的提交一个未授权访问,可能SRC平台也就给个低危,几十块钱,但是如果我们利用泄露的session进行url爆破,可能就能从低危转向高危,具体操作步骤如下
1.将所有的session组成字典,我这是是直接copy下来用sublime正则去提取的,随便找了一个普通的接口去爆破,如果session没失效的话会提示200,如果session失效会提示302跳转登陆页
我这里是爆破出来了将近100个没有失效的 session,构造请求包也很简单,就抓一个登录的包,把url跟cookie里面的session替换一下就可以。
利用火狐里面的cookie替换工具,将cookie替换成我们爆破成功的cookie,即可登录页面查看,
利用没失效的session成功访问后台界面
这里我碰到了一个小问题,就是访问单页面没有联动,每一个都是静态的页面,只能查看当前页面的东西,对于提交漏洞报告的时候,不是很能表明出漏洞的危害程度。
2.这里我们继续爆破,将泄露的druid/weburi.html组成字典,进行爆破。
在爆破url的时候,发现好几处管理员的页面,提示用户权限不足,看了一下是用户管理,这里我们就可以再对当前页面继续进行session爆破,我这里运气比较好,成功爆破到了管理员的session,一般情况来说生产环境的应用系统,管理员一般都是会登录的。
利用管理员的session成功登录到了人员管理界面
为了验证是否具有管理权限,我重置了一个测试管理员用户的密码,并且提示重置成功
利用管理员的session直接管理所有模块
已经能够证明出危害了,编写报告提交SRC,完活
0x03 总结
对于druid未授权,大多数企业以及白帽子在做测试的时候都是当作一个低危的信息泄露来处理,其实如果利用条件都达成了,造成的危害还是不小的,相信你在看到这篇文章后,以后碰到这种未授权,是不是也要来试一下呢?
TCV:1
关于作者
评论80次
学到了,以前只会找相关接口。
websession.json中数据有效情况下,脚本遍历判断cookie有效有什么好办法,不同xi统回包差异有点大
很多都没有session
有遇到过,很实用的一个漏洞。
(感觉session不用爆破,登录后的管理员或者用户有交互记录。。如果想快速登进去的话直接找数据库交互多的那条session来测试
这边是用druid链接池,查看到的api,进行测试的吗?但是有时候暴露出来的api没有什么作用呀。
学到了,以前只会找相关接口。
遇到过,还是大佬想的多,菜鸡:未授权敏感信息泄露
1.SESSION 可以通过该Cookie的方式获取高权限账户。 2.weburi可以发现一些难以扫描到的目录,继续扩大攻击面。
前几天也刚好遇到了,储存所有的session真的爽
之前经常遇到这种漏洞,以后可以尝试一下
通过替换登陆后台,但是很多时候进去么有session泄露呜呜呜
session是只有cookie中存储的时候 的才会有,jwt之类的请求头认证的就不会存在。
谢谢师傅提供的思路,下次再项目里面碰到会尝试下,但是我有个问题,session的生存周期要是很短的话,是不是就碰运气管理员登陆。
前几天刚找到过,这就去实践一下(授权的)
还有个swaager 的页面,也很多未授权访问
虽说爆破很无耻,但确实yyds,不过还是得注意会不会被ban
你在1千个里面可以找到一个,那是运气,有时候就一个也找不到,这种还是概率事件;不好进;我记得有些暴力破解,可以利用返回包里的session,绕过key二次验证
学xi到了,session利用方式,之前扫到了就不管了
学到了 利用session方式
之前发现baidu就有两个 但是不知道该怎么利用
src 重制密码在允许氛围之内吗
????重置的测试账号,这不是该关注的重点
src 重制密码在允许氛围之内吗