文章总结： 本文详细记录了一次渗透测试过程，从发现druid未授权访问漏洞开始，利用其获取系统接口信息，随后通过fuzz发现任意文件下载漏洞并成功下载源码，分析源码发现权限绕过配置，最终定位并利用SQL注入漏洞获取敏感数据。整个过程展示了如何将多个漏洞串联利用，形成完整的攻击链。 综合评分： 85 文章分类： 渗透测试,WEB安全,漏洞分析,权限绕过,SQL注入

从druid未授权-任意文件下载-权限绕过-sql注入

原创

hacker30

hacker30

2025年12月6日 23:20 广东

1、映入眼帘就是一个登录框：

2、存在druid未授权，访问/druid/weburi.json获取系统的接口路径信息：

发现接口/aaa/bbb/getsysLogoPath，直接就是对getsysLogoPath进行fuzz：

fuzz出一个download，拼接访问/aaa/bbb/download?fileName=，构造payload:../../../../../../../../../../../../../root/.bash_history，成功读取文件内容：

根据root用户的历史命令，再读取其他文件，尝试把源码下载下来：

3、下载完成后，通过jadx工具打开，点点点，发现spring-security.xml存在不进行权限校验的资源：

看到这个/**/*.js，猜测大概率存在权限绕过，试试吧：

访问用户列表接口，跳转到登录页面：

后面加上个.js，直接就有数据了：

4、通过jadx搜索${关键字（正则表达式别勾选），发现系统日志sql查询文件存在，可以看到请求的参数是condition.xxxIp

直接就是构造，居然没报错，不可能：

应该是请求参数问题，通过响应数据包的oxxxIp，进行替换，sql报错就出来了：

5、上sqlmap，一直提示访问不了：

发现需要加上参数–force-ssl，最后也是成功注入了：