经验分享|记一次bc站实战
发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370
初遇难题 发现一个bc站先尝试打一下主站先尝试目录扫描看能不能发现一些后台之类的,这里我用的是dirsearch。但是很遗憾,没有什么有价值的目录,连后台也扫不出来,但是这是在意料之中,毕竟大部分菠菜网站防护都做的挺好的。接下里尝试注册一个账号看看尝试注入,发现加密,不会逆向的我只能暂时放弃。注册成功后发现一个上传接口上传成功但是查看后发现他是以id的形式存储,无法形成上传漏洞放弃。这个网站拿不下来转换思路尝试对整个ip进行渗透,首先要对这个ip的全端口进行扫描,尽量获取到比较全的信息。获得了两个web页面。rocketmq,这个有最新版漏洞爆出来尝试找到工具尝试攻击,但是失败不能执行命令。还有另外一个登录界面发现存在shiro框架尝试爆破但是未发现秘钥。 柳暗花明 突破点:他有一个8888端口,访问都会跳转非法ip看了一下burp发现他会访问登录页面再进行跳转眉头一皱发现事情并不简单,在ip后随便加了一点,导致其报错,发现其使用的是spring框架。Actuator 是 Spring Boot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。Actuator 的核心是端点 Endpoint,它用来监视应用程序及交互,spring-boot-actuator 中已经内置了非常多的 Endpoint(health、info、beans、metrics、httptrace、shutdown等等),同时也允许我们自己扩展自己的 Endpoints。每个 Endpoint 都可以启用和禁用。要远程访问 Endpoint,还必须通过 JMX 或 HTTP 进行暴露,大部分应用选择HTTP。 路径 是否默认启用 功能描述 /auditevents 是 显示当前应用程序的审计事件信息 /beans 是 显示一个应用中所有Spring Beans的完整列表 /conditions 是 显示配置类和自动配置类的状态及它们被应用或未被应用的原因 /configprops 是 显示一个所有@ConfigurationProperties的集合列表 /env 是 显示来自Spring的 ConfigurableEnvironment的属性 /flyway 是 显示数据库迁移路径(如果存在) /health 是 显示应用的健康信息(当使用一个未认证连接访问时显示一个简单的’status’,使用认证连接访问则显示全部信息详情) /info 是 显示任意的应用信息 /liquibase 是 展示任何Liquibase数据库迁移路径(如果存在) /metrics 是 展示当前应用的metrics信息 /mappings 是 显示一个所有@RequestMapping路径的集合列表 /scheduledtasks 是 显示应用程序中的计划任务 /sessions 否 允许从Spring会话支持的会话存储中检索和删除用户会话 /shutdown 否 允许应用以优雅的方式关闭(默认情况下不启用) /threaddump 是 执行一个线程dump /heapdump 是 返回一个GZip压缩的hprof堆dump文件 /jolokia 是 通过HTTP暴露JMX beans(当Jolokia在类路径上时,WebFlux不可用) /logfile 是 返回日志文件内容(如果设置了logging.file或logging.path属性的话),支持使用HTTP Range头接收日志文件内容的部分信息 /prometheus 是 以可以被Prometheus服务器抓取的格式显示metrics信息 直接用spring收集好的目录进行目录扫描。 actuatoractuator/auditLogactuator/auditeventsactuator/autoconfigactuator/beansactuator/cachesactuator/conditionsactuator/configurationMetadataactuator/configpropsactuator/dumpactuator/envactuator/eventsactuator/exportRegisteredServicesactuator/featuresactuator/flywayactuator/healthactuator/heapdumpactuator/healthcheckactuator/heapdumpactuator/httptraceactuator/hystrix.streamactuator/infoactuator/integrationgraphactuator/jolokiaactuator/logfileactuator/loggersactuator/loggingConfigactuator/liquibaseactuator/metricsactuator/mappingsactuator/scheduledtasksactuator/swagger-ui.htmlactuator/prometheusactuator/refreshactuator/registeredServicesactuator/releaseAttributesactuator/resolveAttributesactuator/scheduledtasksactuator/sessionsactuator/springWebflowactuator/shutdownactuator/ssoactuator/ssoSessionsactuator/statisticsactuator/statusactuator/threaddumpactuator/traceauditeventsautoconfigapi.htmlapi/index.htmlapi/swagger-ui.htmlapi/v2/api-docsapi-docsbeanscachescloudfoundryapplicationconditionsconfigpropsdistv2/index.htmldocsdruid/index.htmldruid/login.htmldruid/websession.htmldubbo-provider/distv2/index.htmldumpentity/allenvenv/(name)eurekaflywaygateway/actuatorgateway/actuator/auditeventsgateway/actuator/beansgateway/actuator/conditionsgateway/actuator/configpropsgateway/actuator/envgateway/actuator/healthgateway/actuator/heapdumpgateway/actuator/httptracegateway/actuator/hystrix.streamgateway/actuator/infogateway/actuator/jolokiagateway/actuator/logfilegateway/actuator/loggersgateway/actuator/mappingsgateway/actuator/metricsgateway/actuator/scheduledtasksgateway/actuator/swagger-ui.htmlgateway/actuator/threaddumpgateway/actuator/tracehealthheapdumpheapdump.jsonhttptracehystrixhystrix.streaminfointegrationgraphjolokiajolokia/listliquibaselistlogfileloggersliquibasemetricsmappingsmonitorprometheusrefreshscheduledtaskssessionsshutdownspring-security-oauth-resource/swagger-ui.htmlspring-security-rest/api/swagger-ui.htmlstatic/swagger.jsonsw/swagger-ui.htmlswaggerswagger/codesswagger/index.htmlswagger/static/index.htmlswagger/swagger-ui.htmlswagger-dubbo/api-docsswagger-uiswagger-ui.htmlswagger-ui/htmlswagger-ui/index.htmlsystem/druid/index.htmlthreaddumptemplate/swagger-ui.htmltraceuser/swagger-ui.htmlversionv1.1/swagger-ui.htmlv1.2/swagger-ui.htmlv1.3/swagger-ui.htmlv1.4/swagger-ui.htmlv1.5/swagger-ui.htmlv1.6/swagger-ui.htmlv1.7/swagger-ui.html/v1.8/swagger-ui.html/v1.9/swagger-ui.html/v2.0/swagger-ui.htmlv2.1/swagger-ui.htmlv2.2/swagger-ui.htmlv2.3/swagger-ui.htmlv2/swagger.jsonwebpage/system/druid/index.html%20/swagger-ui.html 开始扫描并发现其中存在heapdump,下载下来。Heap Dump也叫堆转储文件,是一个Java进程在某个时间点上的内存快照。可以通过Eclipse MemoryAnalyzer工具对泄露的heapdump文件进行分析,查询加载到内存中的明文密码信息,比如redis密码,mysql数据库账号和密码。这里我用的是whwlsfb师傅的JDumpSpider https://github.com/whwlsfb/JDumpSpider成功获取shiro的key打入内存马。获取管理员权限 文章来源:安全客 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文 END
