一、漏洞描述

Druid是阿里巴巴數(shù)據(jù)庫出品的為監(jiān)控而生的數(shù)據(jù)庫連接池。并且Druid提供的監(jiān)控功能包括監(jiān)控SQL的執(zhí)行時間、監(jiān)控Web URI的請求、Session監(jiān)控等。Druid本身是不存在什么漏洞的，但當開發(fā)者配置不當時就可能造成未授權訪問。本文除了介紹Druid未授權漏洞之外，還要講的是一種該漏洞深入利用擴大戰(zhàn)果的思路和方法。

二、漏洞利用過程

系統(tǒng)首頁地址及頁面顯示如下

http://xx.xx.xx/user/login

首先在針對目標進行滲透測試的過程中，發(fā)現(xiàn)HTTP請求異常的說明頁顯示如下

Whitelabel Error Page（也叫白頁），是SpringBoot中HTTP請求出現(xiàn)異常的說明頁，白頁內容會展示狀態(tài)碼、path、以及錯誤原因等情況，但是真正發(fā)布在線上生成環(huán)境一般不允許出現(xiàn)這樣的情況，更多的是自定義的404頁面或者500頁面等。

既然清楚了目標使用的是spring boot框架，那么先用掃描器掃一下目錄看看

從掃描結果中發(fā)現(xiàn)目標存在Druid的訪問鏈接，直接訪問看看是否存在未授權訪問漏洞的存在

/druid/index.html

從頁面響應來看確實是存在未授權訪問漏洞的。如果到此為止的話，我們頂多只有一個中低危的漏洞，想要擴大影響和進一步的進行測試，就需要用到下面的思路了。

1、先通過未授權訪問收集一下服務器的相關信息

/druid/weburi.html

該接口泄露了網站后臺功能模塊的url地址,大多數(shù)都是一些api接口，有時候也會泄露一些敏感文件信息

/druid/websession.html

這里泄露的主要是登錄用戶的session，不管是登陸成功的、沒登陸成功的，還是失效的都會儲存在這里。

2、深入利用

如果我們利用泄露的session進行url爆破，可能就能將該漏洞的性質從低危轉向高危，具體操作步驟如下：

將頁面泄露的所有的session組成一個字典

然后從之前收集的URI泄露接口隨便找了一個普通的接口去爆破，比如我這里用的是

/user/showList

這個鏈接很明顯的是后臺查看用戶列表的功能點

可以看到如果session失效會302跳轉到系統(tǒng)的登陸頁，因此我們這里主要就是爆破出還能夠正常使用的session值。如果session沒失效的話狀態(tài)碼應該會是200并返回一些數(shù)據(jù)信息。

可以看到這里爆破出了一個能夠在正常使用的session值。接下來利用瀏覽器里面的cookie替換工具，將cookie替換成我們爆破成功的session值，然后再次訪問該鏈接看看

不過這個功能點貌似返回的內容有點少，那么直接訪問剛才收集的后臺首頁地址index

到這里我們已經從未授權訪問漏洞拿到了系統(tǒng)后臺管理權限了。

三、漏洞修復

要修復Druid未授權漏洞需要修改中間件的配置springboot的配置

spring:
  datasource:
    druid:
      max-active: 10
      min-idle: 1
      stat-view-servlet:
        # 是否啟用StatViewServlet(監(jiān)控頁面),默認true-啟動，false-不啟動
        enabled: true
        # 禁用HTML頁面上的"Reset All"功能
        reset-enable: false
        # 設置賬戶名稱（增加登錄權限）
        login-username: xxxx
        # 設置賬戶密碼
        login-password: xxxxxxxx
        # IP白名單(沒有配置或者為空，則允許所有訪問)
        allow: 127.0.0.1
        # IP黑名單(存在共同時,deny優(yōu)先于allow)
        deny: 10.0.0.1
        # 自定義druid連接
        url-pattern: '/druid/*'

這里主要有兩種方法：方法1：設置StatViewServlet(監(jiān)控頁面)為 false方法2：給druid的web頁面設置賬戶密碼，增加訪問druid的權限。

這里推薦使用方法2，畢竟通過自定義賬戶密碼，在鑒權后還是能去druid里面查看監(jiān)控信息的。

四、總結和思考

對于druid未授權，大多數(shù)白帽子在做測試的時候都是當作一個低危的信息泄露來處理，但是其實如果利用條件都達成了，運氣夠好的話，造成的危害還是不小的。這也告訴我們以后碰到這種未授權漏洞，可以多收集一些信息，擴寬一下測試思路，說不定就能獲得更大的收獲。文章來源地址http://www.zghlxwxcb.cn/news/detail-506588.html

到了這里，關于Druid未授權漏洞進一步的利用的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！