开篇

大家好，我是承影战队的v1ct0ry，这次我为大家分享一次比较有趣的漏洞挖掘经历。这次挖掘过程是以灰盒挖掘为主要思想进行展开，不熟悉的读者可以阅读上篇文章熟悉一下。

一、任意文件读取

开局我们通过扫描器获得一个任意文件读取漏洞，并且可列目。我们来看下代码当中的漏洞点：

这里对传入的参数filename未做任何过滤，可直接进行文件读取。

1.1思考

那么通过任意文件读取漏洞我们都可以做什么？
这里我进行了以下五种操作，来帮助我们进行下一步的漏洞挖掘。
（1）、查看用户历史命令 - /home/mbs/.bash_history

（2）、查看配置文件 -根据历史命令找到安装目录，查看conf文件
/opt/choice_install.sh

（3）、获取应用源码 -到安装目录下查看是否遗留安装包在服务器上

（4）、查看日志 -寻找登录相关信息 - /var/log/uusafe/mbs

（5）、数据库备份文件 -查看服务器是否存在数据库备份情况 - /db/

二、获取加密方式

当我们通过任意文件读取漏洞，读取到以上相关信息时，我们会发现以下几个问题：
问题1、日志当中的密码都是加密过的
问题2、存在Authorization认证字段，无法修改数据包进行爆破

问题3、数据库备份文件当中存放的密码为MD5加密，不能全部解密。
那么我们该如何解决前两个问题呢？我们有了源码后是否可以寻找到加密方式呢？

2.1打开源码，尝试寻找加密方式

我们在源码中找到ThreeDes这样一个类，在这里我们可以看到其加密算法。

其中，为3DES加密，加密模式为CBC模式，填充方式为PKCS5，在这里我们可以找到Key为 uus*********fe。

在加密过程实现代码中，我们可以找到偏移量iv=01234567。

那么我们就获取到以下信息：
（1）、加密方式为对称加密：3DES
（2）、Key、偏移量、填充方式
根据以上的信息，我们找到在线加解密平台（http://tool.chacuo.net/crypt3des/）尝试进行加解密。

2.2验证加密方式是否正确

首先我们找到登录接口，输入账号密码 admin/admin，获取到如下数据包：

将密码参数放入在线平台进行解密。

当我们成功解密后，能做的事情就多了起来。
（1）可以将日志当中加密后的密码进行解密，从而登录系统。
（2）可以尝试构造Authorization请求头，从而进行数据包重放。

三、请求伪造

3.1思考

首先我们根据日志了解到，这是一个移动客户端发起的请求，并且请求方式是HTTP请求，那么我们是否可以在没有移动客户端的情况下，使用BP构造请求包，从而请求一些移动客户端的接口来获取敏感信息呢？

我们尝试对整个数据包进行构造，构造中最重要的就是Authorization请求头。因为服务端中，是根据Authorization来进行身份校验的。目前我们已经知道了加密方式，那么是否直接对日志当中的Authorization进行加密就可以了呢？

3.2验证

接下来，先对日志当中的Authorization进行加密：

然后构造数据包如下：

构造成功登录。

3.3猜想

那么我们尝试利用构造好的Authorization字段访问其他接口呢？
在日志中，我们在日志当中随意找个请求，尝试用我们伪造的Authorization字段进行访问：

这时我们看到，响应报错了，哪里出了问题呢？大概率是Authorization字段当中还有其他校验。我们再一次对Authorization进行一个详细分析，解密后的Authorization如下：
0 | iOS | 59072CB6-CFEF-4240-AF40-94E780A75920 || 1667415571677 | 1.0.0 | zjrcu_zhgl | 1 | 0 | 765006618b248c408a54e1fe2bccb190
那么我们对其中每个字段和日志信息进行对比分析，大概可分析为如下：
userid | 设备类型 | securityId || 类似时间戳 | 客户端版本| org_code | 1 | 0 | 未知
最后一个字段我们无法根据日志匹配对其进行判断，那么我们可以根据一些密码学特征来猜测：长度32位，为字母和数字混合，这时我们会很容易想到 MD5加密。那么这里的MD5加密前的明文是如何选取的呢，是时间戳和盐值加密吗？
我们只能够根据现有的线索来进行猜测，这里其实可以调试代码来进行判断，但是项目无法直接运行，无法调试。

3.4构造请求

通过修改数据包、请求不同接口等不同方法的不断尝试，总结如下：
现象：我们只要更改数据包当中的任意字节，无论是添加、删除、修改，都会报错。
结论：加密内容和请求体内容有关。
这里的答案：经过验证， MD5加密前的明文为 请求体所有内容整体MD5值加密。
下图是经过再次构造后，请求成功的截图：

我们在日志当中找到个组织架构接口，开始构造数据包：
（1）首先对请求体进行MD5加密：

（2）对日志中Auth头中的MD5字段进行更改
由原来的：
0 | iOS | 59072CB6-CFEF-4240-AF40-94E780A75920 || 1667415571677 | 1.0.0 | zjrcu_zhgl | 1 | 0 | 765006618b248c408a54e1fe2bccb190
更改为：
0 | iOS | 59072CB6-CFEF-4240-AF40-94E780A75920 || 1667415571677 | 1.0.0 | zjrcu_zhgl | 1 | 0 | 3793020c3c29c73d037ebfab2a077908
（3）再次进行3DES加密：

（4）构造请求包如下，成功访问：

四、任意文件上传

在我们获取到账号密码后，我们可以登录到系统后台：

在后台的功能点中，我们注意到这样一个位置：

可以上传apk文件等。

其请求数据包如下：

4.1分块传输

这里上传大文件采用的是分块传输的方式，整体请求的数据包如下图：

首先分块传输文件，分块传输完成后，再请求uploadblockfilecomplete接口。
Tip：
我们再来巩固了解一个小技巧：https://www.freebuf.com/vuls/353646.html。
一个漏洞成因会有基本的两个要素点：外部可控参数 （Source点）+ 风险函数（Sink点），source和sink之间可以形成一个完成的流时，就会产生一个漏洞。
该应用系统采用的是微服务架构，我们根据请求的接口位置找到相应的jar包，进行代码审计，看看其业务逻辑是怎样的：

找到其代码位置后，看下其核心上传代码：

（1）、传入filecode
（2）、传入blockid
（3）、传入blockmd5
（4）、保存路径：savepath = orgcode + / +filecode + /block/ + blockid + _ +blockMd5
那么对应的，source点：filecode、blockid、blockmd5，sink点：savepath
这里就很可能会存在一个漏洞，我们再来看下uploadBlockFileComplete这里发生了什么？

从代码逻辑看来，对我们有用的信息就是：当我们上传的文件完成时，他会校验文件MD5和大小等，如果不符合，则删除该文件。
那么当数据包请求到这里时：

我们将uploadBlockFileComplete请求包丢弃即可，接下来我们开始构造数据包：

从上图的代码中我们可以看出，参数传入的地方为TransferParam，并且进行base64加密，我们找到请求包当中的该字段：

并对其内容进行解密：

这里我们发现，并没有 blockmd5 参数，那么我们是否可以在请求包中添加该参数呢？因为我们在代码中已经确定在拼接保存路径时，会使用到该参数。

4.2构造数据包

（1）这里我们尝试构造如下内容

filecode : /../../../../../../../../../../home/xx/xx/dist/build
blockid : 0
filesize : 不变
blockMd5 ：文件后缀(1.html)
（2）最终保存如下
savepath = orgcode + / +filecode + /block/ + blockid + _ +blockMd5
savepath = orgcode + / +/../../../../../../../../../../home/xx/xx/dist/build + /block/ + 0 + _ +1.html
savepath = /home/xx/xx/dist/build/block/0_1.html
（3）漏洞证明
我们构造如下请求包：

在请求到uploadBlockFileComplete数据包时，将其丢弃，即可完成上传。

可以看到，成功上传并可访问。

五、总结

大家可以发现，有许多影响范围广、影响力大的漏洞最初都是从一个不起眼的小漏洞开始被深入挖掘的。也许挖掘0day并不像大家想象的那么困难，只需要我们留意观察漏洞挖掘过程中的不起眼的小漏洞，并深入研究，往往会有意想不到的收获。

承影战队

新华三承影战队，专注前沿攻击技术研究，研究方向包括web攻防、0day挖掘、红队工具开发等，长期招聘攻防研究员，简历投递：jiang.wenming@h3c.com (请注明来自FreeBuf)