【攻防渗透集锦】漏洞组合拳与JS攻击面的博弈
字数 1807 2025-11-02 00:39:25

攻防渗透实战教学:漏洞组合拳与JS攻击面深度利用

1. Actuator端点泄露与403绕过技术

1.1 漏洞原理

Spring Boot Actuator端点泄露是经典高危漏洞,攻击者可通过访问/prod-api/等常见接口路径获取敏感信息。

1.2 403绕过技术详解

编码绕过原理:

  • 标准URL编码不会对普通字符(如"o")进行编码
  • 手动编码:%6F对应字符"o"(十六进制ASCII码)
  • 访问路径:/prod-api/actuat%6fr/ 可绕过403限制

实用工具:

  • AI辅助编码:直接询问AI获取字符编码结果
  • poc2jar工具:GitHub开源工具,支持字符URL编码

验证方法:

正常访问:https://target.com/prod-api/actuator/env → 403
编码绕过:https://target.com/prod-api/actuat%6fr/env → 成功访问

1.3 可利用端点

  • /heapdump - 堆转储文件
  • /env - 环境变量
  • /nacosconfig - 配置信息
  • /gateway - 网关路由(可能RCE)

2. 小程序Host渗透与后台发现

2.1 信息收集流程

  1. 小程序测试无果后转向Web后台发现
  2. 直接访问Host域名:https://city.xxx.cc/
  3. 使用dirsearch递归目录扫描

2.2 关键发现

多后台系统:

  • 第一系统:/manage/ → 弱口令漏洞
  • 第二系统:/backend/ → 关联业务系统

渗透要点:

  • 完整查看dirsearch所有结果,避免遗漏
  • 系统间关联分析(如"城市合伙人"关联)

3. Shiro721反序列化漏洞利用

3.1 漏洞检测

  • Ehole指纹识别Shiro框架
  • 反序列化工具快速爆破AES Key

3.2 利用链分析

常见情况:

  • 有Key无链:使用JRMPClient
  • CommonsBeanutilsString链:直接生成内存马

容器环境判断:

cat /proc/1/cgroup
# 查看是否包含docker容器标识

3.3 后续利用

  • 内网探测(172、198、10等网段)
  • 推荐工具:Vshell C2(4.9.3版本)
  • 增强检测:BurpShiroPassiveScan插件

4. JS接口攻击面挖掘

4.1 接口提取方法

Vue框架:

  1. 常规插件提取接口
  2. Webpack二次提取
  3. chunk异步JS分析

4.2 信息泄露利用

参数Fuzz技巧:

// 常用页码参数组合
GET参数
page=1&limit=10000
page=1&size=10000
page=1&page_size=100

POST参数
{"pageNum": "1","pageSize": "100"}
{"pageNo": "1","pageSize": 100}
{"pn": 1,"size": 10}

4.3 同域名站点接口复用

策略:

  • 主域名:根域名.com
  • 测试站:test.xxx.com
  • 接口复用:相同业务逻辑接口测试

5. 业务功能注入与越权漏洞

5.1 SQL注入检测

数字型注入检测:

原始参数:tagId=119
检测语句:
tagId=119+and+1=1  -- 正常返回
tagId=119+and+1=2  -- 异常返回

报错注入利用:

modeIType=video' and extractvalue(1,concat(char(126),database())) and '

5.2 WAF绕过技巧

编码绕过:

  • 十六进制:table_name=0x61645F6C696E6B
  • ASCII编码:CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)
  • Unicode编码:单引号(%u0027)、空格(%u0020)

函数替换:

version()  @@version
sleep()  benchmark()
concat_ws()  group_concat()

5.3 文件覆盖漏洞

利用方法:

  1. 头像上传功能测试
  2. 文件名和目录可控
  3. 覆盖系统关键文件(如图标)

6. API接口组合拳攻击

6.1 接口路径分析

Vue+SpringBoot架构特征:

  • 前端接口:/api/sys/login
  • 实际路径:/gcwms-boot/sys/login
  • 路径替换:全局将gcwms-boot替换为api

6.2 Actuator端点利用

容易被忽视的端点:

  • httptrace:记录HTTP请求信息(含JWT、Cookie)
  • 查找最新时间段的鉴权信息

利用流程:

  1. 获取最新JWT token
  2. 携带token遍历接口
  3. 获取业务数据泄露

7. 民生业务信息收集技巧

7.1 社交媒体信息收集

平台选择:

  • 小红书、抖音等社交平台
  • 关键字搜索:"水费缴纳"、"电费查询"

7.2 信息补全策略

  1. 获取部分信息(如户号、部分姓名)
  2. 社交媒体深度挖掘(帖子、评论区)
  3. 多平台关联分析
  4. 使用专业工具补全信息

7.3 业务绑定利用

  • 水务、电力、医院等民生系统
  • 教育系统:搜索"学生证丢失"等关键词
  • 获取完整账号进行渗透测试

8. 防御建议

8.1 开发层面

  • Actuator端点访问控制
  • 输入参数严格过滤
  • 接口权限验证机制
  • 敏感信息脱敏处理

8.2 运维层面

  • 定期安全扫描
  • WAF防护部署
  • 容器安全加固
  • 日志监控分析

8.3 业务安全

  • 多因素认证机制
  • 业务操作审计
  • 敏感操作二次验证
  • 信息泄露监控

注: 本文仅用于安全教学和防御参考,所有技术方法应在合法授权范围内使用。

攻防渗透实战教学:漏洞组合拳与JS攻击面深度利用 1. Actuator端点泄露与403绕过技术 1.1 漏洞原理 Spring Boot Actuator端点泄露是经典高危漏洞,攻击者可通过访问 /prod-api/ 等常见接口路径获取敏感信息。 1.2 403绕过技术详解 编码绕过原理: 标准URL编码不会对普通字符(如"o")进行编码 手动编码: %6F 对应字符"o"(十六进制ASCII码) 访问路径: /prod-api/actuat%6fr/ 可绕过403限制 实用工具: AI辅助编码:直接询问AI获取字符编码结果 poc2jar工具:GitHub开源工具,支持字符URL编码 验证方法: 1.3 可利用端点 /heapdump - 堆转储文件 /env - 环境变量 /nacosconfig - 配置信息 /gateway - 网关路由(可能RCE) 2. 小程序Host渗透与后台发现 2.1 信息收集流程 小程序测试无果后转向Web后台发现 直接访问Host域名: https://city.xxx.cc/ 使用dirsearch递归目录扫描 2.2 关键发现 多后台系统: 第一系统: /manage/ → 弱口令漏洞 第二系统: /backend/ → 关联业务系统 渗透要点: 完整查看dirsearch所有结果,避免遗漏 系统间关联分析(如"城市合伙人"关联) 3. Shiro721反序列化漏洞利用 3.1 漏洞检测 Ehole指纹识别Shiro框架 反序列化工具快速爆破AES Key 3.2 利用链分析 常见情况: 有Key无链:使用JRMPClient CommonsBeanutilsString链:直接生成内存马 容器环境判断: 3.3 后续利用 内网探测(172、198、10等网段) 推荐工具:Vshell C2(4.9.3版本) 增强检测:BurpShiroPassiveScan插件 4. JS接口攻击面挖掘 4.1 接口提取方法 Vue框架: 常规插件提取接口 Webpack二次提取 chunk异步JS分析 4.2 信息泄露利用 参数Fuzz技巧: 4.3 同域名站点接口复用 策略: 主域名: 根域名.com 测试站: test.xxx.com 接口复用:相同业务逻辑接口测试 5. 业务功能注入与越权漏洞 5.1 SQL注入检测 数字型注入检测: 报错注入利用: 5.2 WAF绕过技巧 编码绕过: 十六进制: table_name=0x61645F6C696E6B ASCII编码: CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116) Unicode编码:单引号(%u0027)、空格(%u0020) 函数替换: 5.3 文件覆盖漏洞 利用方法: 头像上传功能测试 文件名和目录可控 覆盖系统关键文件(如图标) 6. API接口组合拳攻击 6.1 接口路径分析 Vue+SpringBoot架构特征: 前端接口: /api/sys/login 实际路径: /gcwms-boot/sys/login 路径替换:全局将 gcwms-boot 替换为 api 6.2 Actuator端点利用 容易被忽视的端点: httptrace :记录HTTP请求信息(含JWT、Cookie) 查找最新时间段的鉴权信息 利用流程: 获取最新JWT token 携带token遍历接口 获取业务数据泄露 7. 民生业务信息收集技巧 7.1 社交媒体信息收集 平台选择: 小红书、抖音等社交平台 关键字搜索:"水费缴纳"、"电费查询" 7.2 信息补全策略 获取部分信息(如户号、部分姓名) 社交媒体深度挖掘(帖子、评论区) 多平台关联分析 使用专业工具补全信息 7.3 业务绑定利用 水务、电力、医院等民生系统 教育系统:搜索"学生证丢失"等关键词 获取完整账号进行渗透测试 8. 防御建议 8.1 开发层面 Actuator端点访问控制 输入参数严格过滤 接口权限验证机制 敏感信息脱敏处理 8.2 运维层面 定期安全扫描 WAF防护部署 容器安全加固 日志监控分析 8.3 业务安全 多因素认证机制 业务操作审计 敏感操作二次验证 信息泄露监控 注: 本文仅用于安全教学和防御参考,所有技术方法应在合法授权范围内使用。