扫描获取到接口:

/actuator/
/actuator/heapdump
/v3/api-docs

解析heapdump 获取到 APP_SECURITY_KEY ,暂时还不知道该 key 怎么用。

访问注册接口 v1 发现已经被弃用

经过测试发现 注册接口 v2 可以注册用户,不是 json 格式请求,而是正常的 post 请求,成功注册到用户。

登录后发现没有权限访问 admin 后台,需要越权到管理员权限。通过 api-docs 发现可以更新用户提示缺少 key ,原来上面heapdump的key是用在更新用户接口的,但是无法直接更新 admin 用户。

可以测试更新一下注册用户的权限 role=admin,提示更新成功。

重新登录用户发现已经是管理员权限

测试半天发现这个后台也没什么用处,还是在API 接口发现了下载源码接口

查看源码发现 fastjson 版本存在漏洞和利用链

利用工具:https://github.com/cckuailong/JNDI-Injection-Exploit-Plus

搭建 JNDI 服务进行反弹shell

把 readfile 这个二进制文件下载回来让二进制大佬分析,发现只要运行就会把 flag.txt 复制到/app/F1A9.txt ,最终成功获取到 flag。