0x00 前言

如有技術交流或滲透測試/代碼審計/SRC漏洞挖掘/紅隊?向綜合培訓 或 紅藍對抗評估/安全產(chǎn)品研發(fā)/安全服務需求的朋友?

歡迎聯(lián)系QQ/VX 547006660?

https://github.com/J0o1ey/BountyHunterInChina?

重?之我是賞?獵?系列，歡迎?家點個star

2000人網(wǎng)絡安全交流群，歡迎大佬們來玩

群號820783253

0x01 起因

朋友給某甲方做滲透測試，奈何甲方是某知名保險，系統(tǒng)太耐艸，半天不出貨

兄弟喊我來一塊來看，于是有了本文

0x02 客戶端RCE一處

朋友把靶標發(fā)給我看了下，除了兩個下載鏈接啥也沒有

鏈接下載下來的東西如圖，看了下目錄里面還有JRE，那么很顯然，這客戶端exe就是個JAVA啟動命令執(zhí)行套殼

隨后打開program文件夾，逆了一下里面的Jar

full_path前面定義為用戶更新時輸入的路徑

那么很簡單了full_path可控，誘導用戶安裝更新時路徑出輸入注入命令即可

D:\software ?&& ping hacker's IP

0x03 發(fā)現(xiàn)Webservice Soap接口

光這一個水來的客戶端RCE肯定是不夠的，接下來繼續(xù)挖掘服務端

看了看沒別的功能點，我就簡單FUZZ了一下這個系統(tǒng)三級目錄

最后FUZZ出來了一個webservice接口

http://.xxxxxx.cn/xxxx/service

拼接出其wsdl接口

http://.xxxxxx.cn/xxxx/service/BusinessService?wsdl

但導入SoapUI或AWVS的調(diào)試模塊進行調(diào)試時卻發(fā)現(xiàn)其導入失敗

仔細看了下WSDL返回的信息。。。媽的WSDL Import Location和Soap Address Location都是內(nèi)網(wǎng)域名

不過幸運的是，該系統(tǒng)的外網(wǎng)域名拼接路徑后也可以訪問到這個WSDL接口

但是自動化的Soap接口調(diào)試工具是“看見什么就import什么”，這可讓人犯了難

0x04導入SoapUI

思考了一會，突然想起來BurpSuite可以把RequestBody和ResponseBody的值進行替換，hhh，那我們就有辦法導入了

在Burpsuite的Porxy Option中增加Match&Replace規(guī)則

將WSDL Import Location和Soap Address Location處對應的內(nèi)網(wǎng)域名都替換為外網(wǎng)域名

隨后在SoapUI中設置Proxy

打開代理，再次添加WSDL，ResponseBody的內(nèi)網(wǎng)域名成功被替換，WSDL導入成功~

0x05 XXE挖掘

導入接口后，發(fā)現(xiàn)有參數(shù)為dataXML，心中暗喜XXE估計是送上門了

直接BurpSuite中利用XXE OOB測試，fuzz出可使用的xml標簽

OOB成功，XXE到手，收攤！

0x06 總結

堅持一下，守得云開見月明，漏洞就在眼前~