前言

通过去客户现场进行渗透测试发现某OA系统存在0day漏洞,故想通过复现案例进行申请CNVD证书。(本人小白一枚,请各位师傅轻喷。)

正文

我们可以通过fofa去搜索目标。

首先要解决一个问题,获取站点后,我们要怎么获取后台的账号密码,因为该漏洞需要获取OA的登录权限才可利用。(注:以下攻击过程都是围绕着获取后台账号密码展开的)。碰巧在对客户OA进行渗透测试时,我已经收集到了,该OA系统存在远程代码命令执行和任意文件读取漏洞。

一开始我的思路是,通过任意文件读取,去读取该OA的系统配置文件。可以通过去读取后台的配置文件,获取系统配置后台的密码:

获取密文后,通过信息收集我们可以发现后台的加密为DES加密,且密钥都是固定的,这时候我们就可以解开这密文获取后台密码了。这边我们使用github上大佬开发的工具,直接进行解密。

这时候我们可以直接访问后台路径,使用密码进行登录:

http://xx.xx.xx.xx/admin.do

可以看到数据类型为SqlServer,用户名为ekp,但是可以这边的密码进行加密了。不然我们想获取账号密码就可以直接通过连接数据进行获取了。这边测试下这个密码是否正确:

当时想到会不会这个乱码的玩意就是数据库密码啊。所以打算去尝试下,但是通过nmap端口探测发现,数据库的1433端口并没有对外开放,而数据库的IP也是127.0.0.1。

这下就没法进行连接了。本来发现通过nmap发现3389端口,想尝试爆破一波rdp,无果。突然想起来之前有通过一篇博客发现这个系统还存在远程命令执行,通过ldap或者rmi的协议去执行的。不说了,立马尝试。

Payload大概如下:

但是通过尝试了很多命令测试发现,并没有无法执行命令,但是自己的VPS服务器上是有请求记录的,这让我着实捉摸不透。不过后续就知道是为什么了。

就在这山穷水尽疑无路之时,之前发现的一篇文章突然让我柳暗花明又一村。这里面有一个工具,可以直接通过前台的ssrf+任意文件访问去写入木马,至此成功获取服务器权限。

通过去执行命令就能发现,似乎是没有命令执行权限,这也说明了为什么前面我们使用ldap和rmi协议无法执行命令。

而我们的目标一致都没有变,获取后台的账户权限,去复现我们发现的该OA的0day漏洞。而我一开始的想法是通过配置文件去找数据库的账户密码。而现实重重的给了我一巴掌。后面找了几个配置文件和配置目录,都没有发现数据库密码藏在何方。就在又陷入困境之时,偶然打开了tomcat的记录的该OA的日志,竟然发现了里面存在着账号密码。

还记得我们之前使用的DES解密工具吗?使用DES解密,成功获取密码。

使用该账号密码成功登录后台。

成功拿下一个案例。

下面的第二个案例,就没有那么轻松了。一样通过写马到后台,连接服务器,但是通过点击查看数个日志,却没发现里面含有账号密码了。于是,我心想干脆写个脚本去匹配password字段。

使用脚本跑完,我惊讶的发现,居然一个密码都没有,多次检查脚本后发现,并不是我的脚本出了问题,而是真的没有。大概率是管理员设置把登录密码的信息从日志中去除了。这下又出问题了呀。怎么拿到账号呢?又回到了最初的起点,呆呆地站在镜子前。看来只能通过获取数据库密码了。然后我又去翻了翻配置文件,重新把所有配置文件遍历下,使用脚本去匹配是否含有pass、passwd、password等字段的文件,一个一个去查看。无果。突然想起之前的那个配置后台,可以尝试数据库连接,使用弱口令去爆破数据库密码:

但是并没有什么卵用。还是只能去翻代码。在我们登录配置后台成功后,数据库是会返回数据库密码的,如果我们找到了这个类的代码,查看他的加密方式,那不就可以获取数据库密码了吗?说做就做,通过一阵查找,发现了dbConfig.jsp文件,即为admin.do去请求的接口,但是很多都是html代码。

一开始还纳闷,为什么找不到他的后端控制器在哪呢?结果慢慢找才发现,他貌似是前后端一体的,好像没有纯后端这一说。后续发现了他密码的加密方式。

 String pass = (String)pageContext.getAttribute("_pass"); if(StringUtil.isNotNull(pass)){    pass = new String(Base64.encodeBase64(pass.getBytes("UTF-8")),"UTF-8");    pageContext.setAttribute("_pass""u4649u5820u4d45u4241u5345u3634{" + pass +"}"); }%>

从上面代码可以发现并没有进行加密,只是在前面加入几个偏僻字和{}进行混淆罢了,后面只是使用了base64的编码。获取这些信息,这样我们就能获取数据库的账号和密码了。

但是账号密码在哪张表呢?我们难道一张一张表去找吗?该OA系统有上百张表,一张一张找太费时间了。那我们可以怎么做呢?哈哈哈,当然是去该OA官方问客服啦。成功得知sys_org_person表存储用户账号和密码。

把密文拿去DES解密,成功获取admin账号和密码。并成功登录:

后续也成功使用该方法获取多个站点数据库连接密码,通过哥斯拉的马直接访问数据库,成功获取多个站点OA账号密码。

PS:其实后续只拿了4~5个站点案例,达不到cnvd的证书标准。后续就直接通过代码审计方式去进行提交漏洞,成功获取了证书。

总结

由于该漏洞需要登录权限才能使用,故需获取账号密码。通过以前大佬们挖的nday获取服务器权限,通过日志获取了账号密码,但是由于多数站点都是隐藏账号密码,不在日志上显示的,故只能通过数据库获取账号密码。通过代审发现页面的密码为base64加密,成功获取数据库连接密码。最终成功复现漏洞。

作者:Huck_Lim,原创投稿。
来源: 乌雲安全

发表回复

后才能评论

评论(1)