通过JS审计挖掘通用型CNVD证书的过程 - FreeBuf网络安全行业门户

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

漏洞

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
90
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

^{0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9}

通过JS审计挖掘通用型CNVD证书的过程

曲自清 2023-03-29 17:09:38 266927

所属地北京

本文由曲自清创作，已纳入「FreeBuf原创奖励计划」，未授权禁止转载

“ 仅限于网络安全教学，严禁用于非法途径，请遵循网络安全法。若文章中存在敏感信息，请联系管理员进行删除。”

0x00 本文涉及到的知识点

首先通过FOFA搜索引擎查找视频监控相关的系统，然后利用弱口令、目录扫描、JS审计进行漏洞挖掘出某个视频监控系统存在未授权访问漏洞，通过搜寻到的版权信息联合企查查发现该公司注册资金达到一亿元，为了提高漏洞质量选择继续深入测试拿到SYSTEM权限，然后将视频监控系统的指纹信息放在FOFA搜索3个以上进行复现，最后提交给CNVD获得证书。

0x01 FOFA搜索

FOFA语法：

title="视频" && title="监控" && title="系统" && country="CN" && country="CN" && region!="HK" && status_code="200"

这里要说一下为什么要用&&来分开，直接视频监控系统不行吗？答案是肯定是行的，但是如果业务系统标题是：视频实时监控系统或监控XX视频系统，这种如果FOFA的title为视频监控系统是肯定搜索不出来的，而把title分开为多个就可以搜索出来的。

1675924462_63e493eef400f4a07ffb4.png!small?1675924463806

然后一个一个找，手工探测弱密码、目录扫描、JS审计(发现存在弱口令比较多admin/123456)，总之一个一个试就得了。

0x02 JS审计出存在未授权访问

发现目标站点：视频监控管理系统，初步尝试弱密码无果后，进行JS审计

1675924474_63e493fa8b05f2a11578c.png!small?1675924475277

弱口令无果，JS审计搜索缩小范围：登录、成功、success等关键字。

1675924516_63e49424002e42340a451.png!small?1675924516845

其实到这里就已经能看出来了，首先是在Login.action获得JSESSION，获得JSESSION之后系统默认跳转到/monitor/realt/init?curPageId=a1页面(登录成功后的页面)，这个漏洞就这么简单，基本连工具都不用。只要师傅们细心就能够挖到！

1675924539_63e4943be856467bf3e09.png!small?1675924540474

这里访问Login.action已经获取到了JSESSION，那么直接试着访问后台如何？

1675924613_63e49485212b7948f997e.png!small?1675924614909

直接获取了admin权限，并且可以在系统管理处直接增加新的用户，给到admin权限。

1675924662_63e494b6cfb3e082f44f2.png!small?1675924663344

因为该系统存在操作日志功能就没有继续往下做，此次的漏洞挖掘本应该就到这里结束了，可是呢又发现了一个好玩的。

0x03 获取版权发现该系统隶属于1亿元注册资金的公司

在拿到权限后没有对系统内部做多余的操作，但是又在内部审计了一下源代码。

1675924832_63e4956080f840afe3fb9.png!small?1675924833325

发现该系统隶属于XXXX科技有限公司，之后又通过企查查得到注册资金一亿元

1675925497_63e497f9c99868b0c1b85.png!small?1675925498646

0x04 如何把漏洞质量提高

既然发现此漏洞为通用型-网络设备漏洞，如果直接提交到CNVD最多可能就是一个中危的未授权访问漏洞，那么如何将漏洞质量提高呢？（这里将最后提交给CNVD的是某某公司某网络设备存在远程代码执行漏洞）

提高漏洞质量方式：

1、继续测试发现更多漏洞（XSS也算，可以水进报告）

2、利用扫描工具去扫（Xray挂代理每个页面进行测试）

3、是否适配某版本框架或中间件（检测适配中间件or框架版本是否存在漏洞）

4、其它靠个人经验总结，也可以往系统层面继续渗透提高漏洞质量

本次提高漏洞质量进行继续渗透，挖掘漏洞如下：

漏洞一：视频监控管理系统默认使用了老款Struts2框架造成GETSHELL

因为是.action结尾的，可以看到此系统使用了Struts2框架，那么就测试一下

1675924958_63e495de5433d845628d5.png!small?1675924959212

利用工具可以看到存在S2-046漏洞，试着whoami和getshell能否成功

1675924975_63e495efcd2ad830fac90.png!small?1675924976327

1675924983_63e495f76454b8d02c1ae.png!small?1675924984159

瞬间觉得是不是提交这一个Struts2漏洞就可以了？我个人觉得不是的，貌似只能拿这个去提高漏洞质量，只有低版本框架漏洞是不给批的。

漏洞二：视频监控管理系统多处存在XSS漏洞

直接挂Xray或者其它的工具扫就行了，也可以一个一个手工去测，这里没有可说的，直接放poc验证吧。

http://127.0.0.1/mgrcter/orgmgr/device/init?curPageId=%27-prompt(1)-%27http://127.0.0.1/monitor/runstate/init?curPageId=a7&navPageId=%27-prompt(1)-%27http://127.0.0.1/mgrcter/upgrade/init?curPageId=a7&navPageId=%27-prompt(1)-%27http://127.0.0.1/mgrcter/upgrade/init?curPageId=a7&navPageId=%27-prompt(1)-%27http://127.0.0.1/datacter/devicelog/init?curPageId=a3&navPageId=%27-prompt(1)-%27http://127.0.0.1/mgrcter/usermgr/user/init?curPageId=%27-prompt(1)-%27

1675925082_63e4965af05691d543940.png!small?1675925083757

0x05 FOFA搜索指纹信息

指纹信息这里就不叙述是什么了,那么我一般都注重于搜集那些更能精确到系统呢？

首先是ico图标文件(但是大部分有些公司ico图标都会改成自己的logo，但是本次的目的是要三个案例，所以可以用用)，其次是就是标题了，最后最重要的就是body正文，我一般都会用body中带有url链接的(因为可能独一无二)内容

语法：

icon_hash="-30177135" && title="视频监控管理系统" && body="monitor/realt"

1675925191_63e496c7ceb32bf4ff365.png!small?1675925192447

11个够用了，然后就是照着0x02进行漏洞复现(这里就不掩饰了)，CNVD其实提交3个就够用了，但是尽量多提交几个，防止出现意外~(还没审核呢网站突然就没了~)，多多益善。

0x06 结语

其实本次的漏洞挖掘毫无任何的技术含量，甚至有的连工具都没有用上，基本全是手工进行挖掘的，最后挖出一个通用型的CNVD证书。所以本次的文章分享核心意义就是建议各位师傅挖洞要细心、仔细要有耐心。只要功夫深，铁杵磨成针！

附：

1680078740_6423f7940282cb572d6f6.png!small?1680078741052

# web安全 # 网络安全技术

曲自清

这家伙太懒了，还未填写个人描述！

已在FreeBuf发表 3 篇文章

本文为曲自清独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

展开更多