地方hw--记一次通过供应链拿下目标权限的过程

公众号现在只对常读和星标的公众号才展示大图推送，

建议大家把听风安全设为星标，否则可能就看不到啦！

----------------------------------------------------------------------

0x00 前言
       近俩月参加了好几次地方hw，省、市、区，省hw当然难度可想而知，地方区市的相对简单一点，据说"磐石行动"卷到动用核弹级别的0day了、看来被项目经理压榨到走投无路的地步了，区市的hw弱口令相对多一点、还有nday、1day。当然供应链同样是主流，记录下此次通过供应链拿下目标系统的过程。
0x01 正文
       此次对目标单位进行信息搜集及简单探测后没有直接利用点，爆破弱口令无果，但是随后想到会不会存在供应链威胁（因为前不久刚通过某行业的供应链打进多个单位，所以始想尝试下供应链打击）
目标系统长这样：

       但是js文件中没有很明显的特征、包括技术支持、版权所有等等字眼，无法判断开发单位是谁。
      所以直接搜索ico值：

       是直接能搜到的，备案单位除了目标单位，是xxx有限公司的，就基本上是开发单位了，为了验证一下，用备案单位搜出来确认一下，可以看到是有禅道系统的，可以确定是开发单位：

       直接对禅道进行爆破，很遗憾没有爆破成果，随后再对该单位信息信息搜集（这里注意补充一下，各个测绘引擎都有优缺点、资产都会不一样，建议结合使用）
       hunter对该IP没有收录到jenkins、Quake就收录了：


       也是运气比较好  该开发单位其中几个项目设置为了所有人可访问，而且可以看到系统地址、账号密码：

      所以直接找到跟目标系统相同的测试系统进行登录测试，去尝试有没有文件上传之类的漏洞，但是很奇怪的一点是，我都是超管了，没找到可以文件上传的功能点。

      通过js文件找到了上传接口，简单构造一下是可以直接上传的：

      上传jsp：

       但是结果半小时寻找，该文件路径是不在web目录下，只能通过文件预览的方式去访问，无法利用，文件上传也就只能无奈放弃。

       随后想到了用户管理会不会存在未授权呢？但很明显不存在未授权漏洞



       但是，随后想到jwt会不会存在硬编码呢？
       那么直接将host改为目标系统地址，居然惊喜的发现可以获取成功，但是没有任何返回数据，这就有点奇怪了，可能是当前token在目标系统那边没有权限？

       那么既然token可以使用，那么我们试试直接添加一个用户、然后再添加一个角色、并且把该角色直接分配所有权限（所有接口的获取方式均在开发单位的测试系统中获取，因为两个系统几乎一模一样，通用的）：


        添加账号：

       拿下目标系统：

0x02 思考
       此次测试其实有疑惑的，刚开始怀疑是不是硬编码的时候我去把token用jwt解密了一下，解密后发现并不是简单的硬编码，参数很多，

       至于为什么在开发单位的测试系统里的token可以在目标生产系统中使用，应该是系统只做了合法性校验、只要jwt格式对了，就可以随便越权。
JWT跟Token的区别：

https://baijiahao.baidu.com/s?id=1747259628432332608&searchword=jwt
       因为JWT的token值不会查询数据库，所以使用JWT进行身份校验的系统，拿到了密钥+正确格式就可以伪造身份。nacos身份绕过也是同理（QVD-2023-6271）。
0x03 小结
       供应链将成为以后hw的主流手段之一，直接怼目标往往比较困难，从供应链入手可能会有一些意想不到的收获。
        拜拜，瑞斯拜