通过JS审计挖掘通用型CNVD证书的过程
2023-4-18 14:16:36 Author: 寰宇卫士(查看原文) 阅读量:17 收藏

0x00 本文涉及到的知识点

  首先通过FOFA搜索引擎查找视频监控相关的系统,然后利用弱口令、目录扫描、JS审计进行漏洞挖掘出某个视频监控系统存在未授权访问漏洞,通过搜寻到的版权信息联合企查查发现该公司注册资金达到一亿元,为了提高漏洞质量选择继续深入测试拿到SYSTEM权限,然后将视频监控系统的指纹信息放在FOFA搜索3个以上进行复现,最后提交给CNVD获得证书。

0x01 FOFA搜索

FOFA语法:

title="视频" && title="监控" && title="系统" && country="CN" && country="CN" && region!="HK" && status_code="200"

这里要说一下为什么要用&&来分开,直接视频监控系统不行吗?答案是肯定是行的,但是如果业务系统标题是:视频实时监控系统 或 监控XX视频系统,这种如果FOFA的title为视频监控系统是肯定搜索不出来的,而把title分开为多个就可以搜索出来的。

然后一个一个找,手工探测弱密码、目录扫描、JS审计(发现存在弱口令比较多admin/123456),总之一个一个试就得了。

0x02 JS审计出存在未授权访问

发现目标站点:视频监控管理系统,初步尝试弱密码无果后,进行JS审计

弱口令无果,JS审计搜索缩小范围:登录、成功、success等关键字。

其实到这里就已经能看出来了,首先是在Login.action获得JSESSION,获得JSESSION之后系统默认跳转到/monitor/realt/init?curPageId=a1页面(登录成功后的页面),这个漏洞就这么简单,基本连工具都不用。只要师傅们细心就能够挖到!

这里访问Login.action已经获取到了JSESSION,那么直接试着访问后台如何?

直接获取了admin权限,并且可以在系统管理处直接增加新的用户,给到admin权限。

因为该系统存在操作日志功能就没有继续往下做,此次的漏洞挖掘本应该就到这里结束了,可是呢发现了一个好玩的。

0x03 获取版权发现该系统隶属于1亿元注册资金的公司

在拿到权限后没有对系统内部做多余的操作,但是又在内部审计了一下源代码。

发现该系统隶属于XXXX科技有限公司,之后又通过企查查得到注册资金一亿元

0x04 如何把漏洞质量提高

既然发现此漏洞为通用型-网络设备漏洞,如果直接提交到CNVD最多可能就是一个中危的未授权访问漏洞,那么如何将漏洞质量提高呢?(这里将最后提交给CNVD的是某某公司某网络设备存在远程代码执行漏洞)

提高漏洞质量方式:

1、继续测试发现更多漏洞(XSS也算,可以水进报告)

2、利用扫描工具去扫(Xray挂代理每个页面进行测试)

3、是否适配某版本框架或中间件(检测适配中间件or框架版本是否存在漏洞)

4、其它靠个人经验总结,也可以往系统层面继续渗透提高漏洞质量

本次提高漏洞质量进行继续渗透,挖掘漏洞如下

漏洞一:视频监控管理系统默认使用了老款Struts2框架造成GETSHELL

因为是.action结尾的,可以看到此系统使用了Struts2框架,那么就测试一下

利用工具可以看到存在S2-046漏洞,试着whoami和getshell能否成功

瞬间觉得是不是提交这一个Struts2漏洞就可以了?我个人觉得不是的,貌似只能拿这个去提高漏洞质量,只有低版本框架漏洞是不给批的。

漏洞二:视频监控管理系统多处存在XSS漏洞

直接挂Xray或者其它的工具扫就行了,也可以一个一个手工去测,这里没有可说的,直接放poc验证吧。
http://127.0.0.1/mgrcter/orgmgr/device/init?curPageId=%27-prompt(1)-%27http://127.0.0.1/monitor/runstate/init?curPageId=a7&navPageId=%27-prompt(1)-%27http://127.0.0.1/mgrcter/upgrade/init?curPageId=a7&navPageId=%27-prompt(1)-%27http://127.0.0.1/mgrcter/upgrade/init?curPageId=a7&navPageId=%27-prompt(1)-%27http://127.0.0.1/datacter/devicelog/init?curPageId=a3&navPageId=%27-prompt(1)-%27http://127.0.0.1/mgrcter/usermgr/user/init?curPageId=%27-prompt(1)-%27

0x05 FOFA搜索指纹信息

指纹信息这里就不叙述是什么了,那么我一般都注重于搜集那些更能精确到系统呢?

首先是ico图标文件(但是大部分有些公司ico图标都会改成自己的logo,但是本次的目的是要三个案例,所以可以用用),其次是就是标题了,最后最重要的就是body正文,我一般都会用body中带有url链接的(因为可能独一无二)内容

语法:

icon_hash="-30177135" && title="视频监控管理系统" && body="monitor/realt"

11个够用了,然后就是照着0x02进行漏洞复现(这里就不掩饰了),CNVD其实提交3个就够用了,但是尽量多提交几个,防止出现意外~(还没审核呢网站突然就没了~),多多益善。

0x06 结语

  其实本次的漏洞挖掘毫无任何的技术含量,甚至有的连工具都没有用上,基本全是手工进行挖掘的,最后挖出一个通用型的CNVD证书。所以本次的文章分享核心意义就是建议各位师傅挖洞要细心、仔细要有耐心。只要功夫深,铁杵磨成针!

附:

原文来自「问天安全」|侵删

中电运行是专业专注培养能源企业IT工匠和提供IT整体解决方案的服务商,也是能源互联网安全专家。我们每天都会分享各种IT相关内容,如果您有任何关于IT疑问,欢迎给我们留言

小白必读!寰宇卫士手把手教你栈溢出(上)

手把手教你栈溢出(中)

手把手教你栈溢出(下)

《信息安全知识》之法律关键常识汇总

CTF经验分享|带你入门带你飞!


文章来源: http://mp.weixin.qq.com/s?__biz=MzIwMzU0NDY5OA==&mid=2247496845&idx=1&sn=0b4701cf24c5e65ffe0ec59a1dc8551f&chksm=96cf7598a1b8fc8e1e64b050c9e0af7d2df54d4b406a94441bd776711fa02c80fd681f0010ec#rd
如有侵权请联系:admin#unsafe.sh