實戰 | 記一次有趣的客戶端RCE+服務端XXE挖掘

0x01 起因

朋友給某甲方做滲透測試，奈何甲方是某知名保險，系統太耐艸，半天不出貨

兄弟喊我來一塊來看，于是有了本文

0x02 客戶端RCE一處

朋友把靶標發給我看了下，除了兩個下載鏈接啥也沒有

鏈接下載下來的東西如圖，看了下目錄里面還有JRE，那么很顯然，這客戶端exe就是個JAVA啟動命令執行套殼

隨后打開program文件夾，逆了一下里面的Jar

full_path前面定義為用戶更新時輸入的路徑

那么很簡單了full_path可控，誘導用戶安裝更新時路徑出輸入注入命令即可

D:\software  && ping hacker's IP

0x03 發現Webservice Soap接口

光這一個水來的客戶端RCE肯定是不夠的，接下來繼續挖掘服務端

看了看沒別的功能點，我就簡單FUZZ了一下這個系統三級目錄

最后FUZZ出來了一個webservice接口

http://****.xxxxxx.cn/xxxx/service

拼接出其wsdl接口

http://****.xxxxxx.cn/xxxx/service/BusinessService?wsdl

但導入SoapUI或AWVS的調試模塊進行調試時卻發現其導入失敗

仔細看了下WSDL返回的信息。。。媽的WSDL Import Location和Soap Address Location都是內網域名

不過幸運的是，該系統的外網域名拼接路徑后也可以訪問到這個WSDL接口

但是自動化的Soap接口調試工具是“看見什么就import什么”，這可讓人犯了難

0x04導入SoapUI

思考了一會，突然想起來BurpSuite可以把RequestBody和ResponseBody的值進行替換，hhh，那我們就有辦法導入了

在Burpsuite的Porxy Option中增加Match&Replace規則

將WSDL Import Location和Soap Address Location處對應的內網域名都替換為外網域名

隨后在SoapUI中設置Proxy

打開代理，再次添加WSDL，ResponseBody的內網域名成功被替換，WSDL導入成功~

0x05 XXE挖掘

導入接口后，發現有參數為dataXML，心中暗喜XXE估計是送上門了

直接BurpSuite中利用XXE OOB測試

OOB成功，XXE到手，收攤~

0x06 總結

堅持一下，守得云開見月明，漏洞就在眼前~