当前位置：首页 > article >正文

记一次框架利用接管学工系统

article 2026/5/5 17:15:41

视频教程在我主页简介或专栏里

链接：观看更多

Springboot actuator

（1）某学院学工管理系统存在Springboot actuator未授权,泄露了很多接口地址，其他接口就不过多介绍了，这里具体讲述这次利用到的httptrace和jolokia两个接口

（2）通常情况下，通过Spring actuator可以获取到Heapdump文件从而解密获取到数据库等重要信息，但是这里并没有Heapdump文件可用，所以我是通过jolokia接口得到了Env中的加密字段信息，具体操作步骤如下：

1.Env接口中找到加密字段的属性名称;
2.构造POST请求包向jolokia接口发起请求;
3.jolokia接口响应的Value值就是Env中加密字段的明文信息；

（3）通过该方法，获取到了Env中全部加密字段的信息，并通过开放端口成功接管了该校的minio存储桶

Spingblade

（1）Env接口中存在blade相关字段内容，所以我猜测该系统可能采用了Blade框架

（2）于是我对Blade的敏感接口进行未授权尝试：后端回显需要用户令牌进行鉴权，这个用户令牌鉴权一响应回来，我就想起了先前Springboot actuator泄露出来的httptrace接口（HTTP请求日志接口，Springboot actuator会默认将最近的100次HTTP请求记录到内存中，所以httptrace中极大可能存在用户令牌泄露）

（3）果不其然，一访问httptrace接口就看到了泄露的用户令牌

（4）利用泄露出来的用户令牌，构造GET请求Blade用户接口，成功获取全系统用户信息（由此可见，后端仅仅验证了用户令牌是否为有效用户令牌，并没有对用户身份进行鉴权）

（5）泄露出来的用户密码是MD5加密，首先对admin的密码进行了MD5解密，可惜解密失败，不过很多用户的密码都可以成功解密；于是我开始思考平台是如何对用户进行权限划分的，回到响应数据包中，对比admin用户与其他用户的区别，我发现admin用户与其他用户最大的不同在type和teacherId两个参数，所以我推测系统是根据参数type和teacherId来对用户进行权限的划分

（6）一般情况下，一个学校的系统会存在多个高权限用户，所以我继续翻找是否存在type和teacherId两个参数与admin用户参数值相同的用户；经过一番寻找，成功找到另外一个与admin用户鉴权参数值相同的用户，并且此用户的密码是可解密的，登录该用户后，发现先前的猜测完全正确，该用户具备与admin用户完全同等级的权限，成功拿下了该校的学工系统