本文章仅用于交流学习，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任

引言~

最近挖SRC经常遇到Druid未授权访问漏洞，觉得过程比较有趣，所以简单记录一下

Druid简介

druid是阿里研发的一款数据库连接池，其开发语言为java，druid集合了c3p0、dbcp、proxool等连接池的优点，还加入了日志监控、session监控等数据监控功能，使用Druid能有效的监控DB池连接和SQL的执行情况。

更多信息可参考官方GitHub项目：https://github.com/alibaba/druid

druid虽高效好用，但当开发者配置不当时就可能造成未授权访问，攻击者可利用泄露的Session登录后台

Druid未授权访问路径

怎么探寻Druid未授权访问呢？可以直接拼接以下路径进行访问，如果页面存在，即为Druid未授权访问

html:
ip/druid/index.html             ##Druid Index
ip/druid/sql.html               ##Druid sql监控页面
ip/druid/weburi.html            ##Druid Web URI监控页面
ip/druid/websession.html        ##Druid Web Session监控页面json:
ip/druid/weburi.json            ##Druid Web URI json
ip/druid/websession.json        ##Druid Web Session jsonDruid 登录接口：
ip/druid/login.html             ##Druid登录认证页面

当一级目录不存在时，可尝试拼接二级目录进行访问

也可利用谷歌语法或目录扫描工具进行探测：

site:xx.com intitle:Druid Stat Index

提取session

访问ip/druid/weburi.html看到以下页面则证明漏洞可被利用，如果url和session页面都为空，则说明这两项druid并不管理

当/druid/websession.html页面存在数据时，我们可利用该页面的session伪造登录，点击最后访问时间，然后复制一条离现在时间最为接近的session进行伪造登录；之所以要点击最后访问时间排序session，是因为此处记录的Session并非全部都是用户在线时的session，当用户退出系统时，session虽然还存在，但已失效，无法再利用。

也可利用py提取session然后结合burp的Intruder模块批量遍历高权限用户，session地址可参考上面给出的链接

如果我们并不清楚后台的位置，我们可再把脚本改一下，利用url监控处为我们提供清晰的站点目录架构

ok，得到后台地址，接下来我们访问一下

重新刷新一下页面，然后开启burp进行抓包，抓包过程中发现站点cookie值存在session字段，点击最后访问时间排序一下session，随后复制session过来访问一下

毫无意外，成功进去，但是权限不高，看来还是得开启神奇的Intruder模块，爆破结果如下

根据返回包信息看哪条session权限高就用它伪造登录

注：除session伪造外，url监控和sql监控也能为我们开拓攻击的思路，当我们遇到一个注入且不清楚其语法结构时，查看sql监控处有可能会得到，此外，url监控处也为我们提供了较为清晰的站点目录架构

session伪造进后台

之后就是替换cookie值伪造登录了，f12改一下session值即可

结语

druid作为数据源的一名后起之秀，凭借其出色的性能，渐渐被大家使用。当然还有他的监控页面也有这非常大的作用。但是监控页面往往包含了很多隐私的数据信息，所以需要将其保密，可以为监控页面添加一个用户名和密码，确保其安全性

Druid未授权访问利用相关推荐

1. Alibaba Druid未授权访问漏洞记录（敏感目录，端口:不确定）

   Druid简介 1.Druid是阿里巴巴数据库事业部出品,为监控而生的数据库连接池. 2.Druid提供的监控功能,监控SQL的执行时间.监控Web URI的请求.Session监控. Druid可能 ...

2. Druid未授权访问 漏洞复现

   为方便您的阅读,可点击下方蓝色字体,进行跳转↓↓↓ 01 漏洞描述 02 利用方式 03 修复方案 01 漏洞描述 Druid是阿里巴巴数据库事业部出品,为监控而生的数据库连接池.Druid提供的监控 ...

3. redis 未授权访问利用 两种方式

   1.未授权访问漏洞 Redis在默认情况下,会绑定在0.0.0.0:6379,如果没有采用限制IP访问,就会将Redis服务暴露在公网上,并且在没有设置密码认证的情况下,会导致任意用户未授权访问Red ...

4. 二十八种未授权访问漏洞合集（暂时最全）

   目录 0x01 未授权漏洞预览 0x02 Active MQ 未授权访问 0x03 Atlassian Crowd 未授权访问 0x04 CouchDB 未授权访问 0x05 Docker 未授权访问 ...

5. 常用的30+种未授权访问漏洞汇总

   未授权访问漏洞汇总预览 1 .FTP 未授权访问(21) 2 .LDAP 未授权访问(389) 3 .Rsync 未授权访问(873) 4 .ZooKeeper 未授权访问(2181) 5 .Dock ...

6. ZooKeeper 未授权访问漏洞利用

   点击"仙网攻城狮"关注我们哦~ 不当想研发的渗透人不是好运维 让我们每天进步一点点 简介 ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,它是一个为分布式应用提 ...

7. Redis未授权访问的三种利用方式

   简介 Redis是一套开源的使用ANSI C编写.支持网络.可基于内存亦可持久化的日志型.键值存储数据库,并提供多种语言的API. 漏洞描述 Redis默认情况下会绑定在0.0.0.0:6379,如果 ...

8. 【渗透】Redis 未授权访问漏洞利用（三种利用方式）

   起序:是因为我同学的云服务器被黑了,被挖矿了,原因就是 redis 可以未授权访问,还是 root 级别的,我直接好家伙,整理记录一下. 一.软件环境 虚拟机:VMware Workstation 1 ...

9. MongoDB 未授权访问漏洞利用

   点击"仙网攻城狮"关注我们哦~ 不当想研发的渗透人不是好运维 让我们每天进步一点点 简介 MongoDB是一个基于分布式文件存储的数据库,是一个介于关系数据库和非关系数据库之间的产 ...

10. redis未授权访问漏洞利用

    redis是一个key-value存储系统,拥有强大的功能,目前普及率很高,redis是用ansic语言编写,支持网络.可基于内存亦可持久化的日志型.Key-Value数据库,并提供多种语言的APL, ...

最新文章

1. Docker员工自述：我们为什么“输”给了Kubernetes？
2. Android系统源码学习——ramdisk.img、system.img、userdata.img三个文件介绍
3. ffmpeg avstream::codec 被声明为已否决
4. ThinkPad L440 FN键设置
5. 高亮显示 html_友达10.1寸超低温高亮工业液晶屏G101STN01.C
6. php 将字符串打乱,PHP内部实现打乱字符串顺序函数str_shuffle的方法
7. 指针在c语言中的运用,怎么理解C语言中的指针，如何运用？
8. 华为Mate40 Pro国行或定价6499元起 将会提供多个版本
9. Python策略模式实现源码分享
10. webstorm 配置sass
11. vue-router学习第一天
12. 决胜新能源汽车战场：价格拖死战、舆论声量战、产业兼并战
13. java debug详解_Java远程debug详解
14. 信用评分卡 (part 2of 7)
15. rostcm6情感分析案例分析_周小鹏分析情感案例——你愿意嫁给一个离过婚带孩子男人吗？...
16. 中科院分词系统整理笔记
17. PDF417二维条码生成器 C++
18. STM32MP157移植Qt5.12.10
19. HR提出的面试问题参考答案
20. python数据分析学习day08：柱状图

热门文章

1. 英语知识系列：26个字母在单词中的发音总结
2. 采用flv.js与dplayer播放器来播放http-flv格式视频
3. python jdict_jdict python中的javascript dict
4. 2020新版小桔灯作文能力阶梯序列作文课件教案教材全套
5. 性能测试——jmeter性能测试——重点—核心——线程组、Ramp-Up Period、Loop Count 次采样...
6. android 电视 vob格式转换,旭日Android视频格式转换器
7. python xlrd模块 xlwd模块 python操作Excel python读取Excel
8. IE11主页被篡改解决方法
9. 前方高能！Netflix推出《怪奇物语》VR体验
10. 还不重视！脸上有螨虫的几种表现？