在本文中,我们将证明,有时传统方法并不完全适用。如果SAP测试人员知道SAP存在许多漏洞,并从Internet上下载了免费工具,他们并不能入侵系统,因为一些公司已经应用了最新的补丁,并且他们至少不存在一些最常见的问题(例如,网关绕过、动词篡改、或默认密码)。
在其中一个评估过程中,我们明白,所有现有的漏洞利用并不起作用,所有默认密码变了,似乎是不可能入侵这些SAP系统。
本文将告诉我们如何打破防火墙。考虑以下几点以帮助执行完美的SAP渗透测试:
1. 为了找到0-day漏洞,SAP servlet以及应用程序应被视为一种优先选择; 2. SAP系统中应用程序的权利; 3. SAP系统中SQL盲注的特点; 4. 权限提升选项; 5. 如何从应用程序访问级别执行任意代码以及获取对操作系统的全面访问。 |
如果没有公共安全漏洞,我们就寻找0-day漏洞。
要搜索SAP系统中的漏洞,首先需要考虑SAP系统中存在哪些类型的应用程序。SAP系统安装了以下几种类型的web应用程序并与系统一起运行:
- servlet; - webdynpro; - 门户应用程序; - 服务; - 还有扩展,核心lib,接口,但是它们不会被考虑在内。 |
服务应用程序SAP中的servlet、应用程序、webdynpro和门户应用程序都安装在文件夹C:usrsap%SID%J00j2eeclusterapps,服务应用程序安装在–C:usrsap%SID%J00j2eeclusterbinservices
,这里的%SID%是SAP系统的SID。在我们的示例中,SID就是-DM0。
每个应用程序都有由开发人员预定义的权限。只有你能够使用具有这些特权的应用程序。默认情况下,SAP NetWeaver AS Java有4种类型的权利:
1. 无安全性——所有人可用,不需要授权的程序; 2. 低安全性——通过认证的用户可以使用的应用程序; 3. 中等安全性——内容管理用户或管理系统可用的应用程序; 4. 高安全性——对于内容管理用户或管理系统可用的中等安全性的应用程序。 |
所有应用程序的访问权限都是在webdynpro.xml、web.xml配置文件中描述的,并且对门户app来说,都是portlet.xml。
正如已经提到的,我们主要对不需要身份验证的应用程序感兴趣。要找到这种应用程序,我们需要进行简单的文件搜索来获取应用程序的列表。
在几分钟内就可以找到许多满足搜索条件的应用程序,其中之一是组件tc~rtc~coll.appl.rtc~wd_chat。其配置文件位于以下地址:
C:usrsap%SID%J00j2eeclusterappssap.comtc~rtc~coll.appl.rtc~wd_chatservlet_jspwebdynproresourcessap.comtc~rtc~coll.appl.rtc~wd_chatrootWEB-INFwebdynpro.xml
并且代码如下:
从描述中可以看到,该组件有两个可以从浏览器调用的应用程序:聊天和消息。因此,应用程序可以从下面的地址获得:
1) http:/SAP_IP:SAP_PORT/webdynpro/resources/sap.com/tc~rtc~coll.appl.rtc~wd_chat/Chat#
2)http:/SAP_IP:SAP_PORT/webdynpro/resources/sap.com/tc~rtc~coll.appl.rtc~wd_chat/Messages#
SAP信息披露
让我们打开聊天app,查看它的功能。
按照该地址,一个匿名的servlet被打开了,其功能是写消息。
如果我们点击“Add participant”按钮,我们将打开一个窗口,该窗口的功能是可以将用户添加到聊天功能中,以便编写消息。
如果我们可以选择一个用户,那就意味着我们可以得到所有用户的列表,并且得到这些用户的登录名。
很快,我们便找到了一个名为John的管理员的登录名,但是我们只需要知道账户密码。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
