红队篇-针对某集团的Web打点突破

开局一个登录口

对页面进行目录fuzz发现/ct/account.html页面存在

打开后发现有个添加账户的功能，点击后竟直接跳转到了系统后台首页，算是绕过登录

对添加账户进行抓包分析，可以发现是POST请求的API接口，分析后此接口用来生成用户的token，图中可以看到生成的token为admin查看页面源代码可以看到

将跳转的URL复制下来，分析后可以看到xtoken的值等于API生成的token值，此处就在想会不会存在任意用户登录？

URI如下：

http://10.0.0.1:9999/cg/#/login?client=client_guarantee&xtoken=asIcWAwFI19L3B-Vy2clxxxxxxxxxxxxxxx&redirect=EXPN_FUND_ADMT%2FEXPN_FUND_ADMT0004 

尝试生成其他用户的token，因在后台发现存在id为mengxufei的用户，这里就以mengxufei为例，可以成功生成token

将生成的token复制到URL的xtoken里，可以成功登录

此时，burp被动扫描传来捷报，扫描到数个api接口的swagger文档

直接访问发现403，需要鉴权

将登录后台的jwt凭证填入到Google插件，鉴权成功可以看到swagger页面

根据报错判断后端服务器为Springboot

于是顺手探测Springboot的相关漏洞，但只存在端点泄露，并无heapdump和env

通过swagger发现某接口存在附件下载的功能，将filepath修改为../../../etc/shadow发现可以成功实现任意文件读取

通过读取root目录下的.bash_history文件可以看到编辑过application-mysql.yml文件

通过构造路径读取此文件，发现数据库以及redis等敏感信息泄露

以上的打点已经用了很长时间，但始终无法获取到权限，不甘放弃于是准备阅读一下js文件，在app.js里发现存在上传图片的功能

利用burp构造上传数据包，可以发现上传txt后缀的文件，但是访问后不解析，包括jsp文件

后来尝试了各个swagger的上传接口，最后结果都是为不解析，跨目录也尝试过但也不行。

后来重新看了一下添加账户的功能，发现此接口同时也存在信息泄露，通过抓包可以看到用户的密码被写到了请求包里，加密是AES

day2：
第二天在之前进入的后台系统里过一遍功能，结果通过里面的某项功能跳转到了另一个系统，路径为/x_desktop/，不过此系统需要账号密码，因之前在后台发现了一个sql注入，可以dump之前系统的用户和密码，准备来撞库一波

经过撞库发现并未成功，后来看了下源代码，发现此系统前端源码包含特征o2oa，于是去百度搜索官方文档找账户密码

默认密码登录成功

紧接着利用公开的漏洞打一波，收获得rce一枚

反弹shell成功，拿下root权限