查看原文
其他

地方hw--记一次通过供应链拿下目标权限的过程

听风安全 2023-11-28

The following article is from 洪椒攻防实验室 Author Reig

喜欢就点个赞吧
免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

公众号现在只对常读和星标的公众号才展示大图推送,

建议大家把听风安全设为星标,否则可能就看不到啦!

----------------------------------------------------------------------

0x00 前言
       近俩月参加了好几次地方hw,省、市、区,省hw当然难度可想而知,地方区市的相对简单一点,据说"磐石行动"卷到动用核弹级别的0day了、看来被项目经理压榨到走投无路的地步了,区市的hw弱口令相对多一点、还有nday、1day。当然供应链同样是主流,记录下此次通过供应链拿下目标系统的过程。
0x01 正文
       此次对目标单位进行信息搜集及简单探测后没有直接利用点,爆破弱口令无果,但是随后想到会不会存在供应链威胁(因为前不久刚通过某行业的供应链打进多个单位,所以始想尝试下供应链打击)
目标系统长这样:

       但是js文件中没有很明显的特征、包括技术支持、版权所有等等字眼,无法判断开发单位是谁。
      所以直接搜索ico值:

       是直接能搜到的,备案单位除了目标单位,是xxx有限公司的,就基本上是开发单位了,为了验证一下,用备案单位搜出来确认一下,可以看到是有禅道系统的,可以确定是开发单位:

       直接对禅道进行爆破,很遗憾没有爆破成果,随后再对该单位信息信息搜集(这里注意补充一下,各个测绘引擎都有优缺点、资产都会不一样,建议结合使用)
       hunter对该IP没有收录到jenkins、Quake就收录了:


       也是运气比较好  该开发单位其中几个项目设置为了所有人可访问,而且可以看到系统地址、账号密码:

      所以直接找到跟目标系统相同的测试系统进行登录测试,去尝试有没有文件上传之类的漏洞,但是很奇怪的一点是,我都是超管了,没找到可以文件上传的功能点。

      通过js文件找到了上传接口,简单构造一下是可以直接上传的:

      上传jsp:

       但是结果半小时寻找,该文件路径是不在web目录下,只能通过文件预览的方式去访问,无法利用,文件上传也就只能无奈放弃。

       随后想到了用户管理会不会存在未授权呢?但很明显不存在未授权漏洞



       但是,随后想到jwt会不会存在硬编码呢?
       那么直接将host改为目标系统地址,居然惊喜的发现可以获取成功,但是没有任何返回数据,这就有点奇怪了,可能是当前token在目标系统那边没有权限?

       那么既然token可以使用,那么我们试试直接添加一个用户、然后再添加一个角色、并且把该角色直接分配所有权限(所有接口的获取方式均在开发单位的测试系统中获取,因为两个系统几乎一模一样,通用的):


        添加账号:

       拿下目标系统:

0x02 思考
       此次测试其实有疑惑的,刚开始怀疑是不是硬编码的时候我去把token用jwt解密了一下,解密后发现并不是简单的硬编码,参数很多,

       至于为什么在开发单位的测试系统里的token可以在目标生产系统中使用,应该是系统只做了合法性校验、只要jwt格式对了,就可以随便越权。
JWT跟Token的区别:

https://baijiahao.baidu.com/s?id=1747259628432332608&searchword=jwt
       因为JWT的token值不会查询数据库,所以使用JWT进行身份校验的系统,拿到了密钥+正确格式就可以伪造身份。nacos身份绕过也是同理(QVD-2023-6271)。
0x03 小结
       供应链将成为以后hw的主流手段之一,直接怼目标往往比较困难,从供应链入手可能会有一些意想不到的收获。
        拜拜,瑞斯拜


不可错过的往期推荐哦


新Rootkit病毒利用“天龙八部”进行传播

一次有趣的RCEbypass

Weblogic上传漏洞在不知绝对路径情况下拿shell方法

让后渗透中的Everything变得不再鸡肋

U盘植马之基于arduino的badusb实现及思考

APT是如何杜绝软件包被篡改的

利用sqlserver agent job实现权限维持

SRC挖掘葵花宝典

点击下方名片,关注我们

觉得内容不错,就点下“”和“在看

如果不想错过新的内容推送可以设为星标
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存