别再只报低危了！Druid未授权访问的Session利用实战：我用Burp Suite爆破拿到了管理员权限

从低危到高危：Druid未授权访问漏洞的深度武器化实践

在渗透测试的战场上，最令人遗憾的莫过于手握利器却只发挥出它十分之一的威力。许多安全工程师在发现Druid监控页面未授权访问漏洞时，往往止步于简单的截图上报，错失了将其转化为高危漏洞的绝佳机会。今天，我将分享如何通过Burp Suite这把"瑞士军刀"，将看似普通的Session泄露变成获取系统管理员权限的致命武器。

1. 漏洞本质与价值重估

Druid作为阿里巴巴开源的数据库连接池，其内置的监控功能本是企业级应用的健康仪表盘。但当开发者疏忽了访问控制配置时，这个仪表盘就会变成攻击者的情报中心。传统的漏洞评级往往将其归类为"信息泄露"，但实战经验告诉我们——漏洞的危害程度取决于利用深度而非表面现象。

在最近一次金融系统的渗透测试中，我通过/druid/websession.html页面收集到了327个活跃Session。经过自动化验证，其中有11个仍保持有效状态，包括2个具有管理员权限的会话。这个案例清晰地展示了：未授权访问只是起点，Session劫持才是真正的杀伤链环节。

2. 情报收集与目标定位

2.1 环境侦察三步法

1. 框架指纹识别：通过Whitelabel Error Page确认Spring Boot框架特征
2. 目录爆破策略：使用定制化字典重点扫描/druid/*路径
3. 功能模块测绘：
   • /druid/weburi.html：获取所有API端点
   • /druid/websession.html：提取活跃会话令牌
   • /druid/sql.html：分析潜在SQL注入点

提示：在收集WebURI时，优先关注包含admin、manage、api等关键词的路径，这些往往是权限校验的薄弱环节。

2.2 Session有效性快速筛查

通过Burp Repeater模块可快速验证单个Session的存活状态：

GET /api/user/profile HTTP/1.1 Host: target.com Cookie: JSESSIONID=xxxxxx

响应状态码对比表：

3. Burp Suite自动化爆破实战

3.1 Intruder模块精密配置

1. Payload处理流水线：

   • 从websession.html提取JSESSIONID列表
   • 使用Python脚本清洗格式：

     import re with open('raw_sessions.txt') as f: sessions = re.findall(r'JSESSIONID=([^\s;]+)', f.read()) with open('clean_sessions.txt', 'w') as f: f.write('\n'.join(sessions))

2. 攻击类型选择：

   • 针对Cookie字段使用Sniper模式
   • 针对多个参数组合使用Cluster bomb模式

3. 结果过滤技巧：

   • 添加Grep-Match规则捕获"role":"admin"等关键词
   • 设置差异分析过滤器排除登录页HTML特征

3.2 智能爆破策略设计

在高并发环境下，为避免触发WAF防护，建议采用以下配置：

GET /admin/user/list HTTP/1.1 Host: target.com Cookie: JSESSIONID=§payload§ X-Forwarded-For: 192.168.§1-254§.§1-254§ Delay: 3000ms

关键参数说明：

• 线程控制：建议3-5线程（企业系统通常有速率限制）
• 错误处理：自动跳过连续5次500错误的会话
• 去重机制：启用Payload Encoding→URL-encode all characters

4. 权限提升与横向移动

4.1 会话劫持后的操作流程

1. 权限验证：

   curl -H "Cookie: JSESSIONID=STOLEN_SESSION" http://target.com/api/auth/check -s | jq .data.role

2. 功能探测：

   • 通过/druid/weburi.html泄露的API文档逆向工程
   • 使用Burp Scanner自动测试高危接口（如/user/delete）

3. 数据提取：

   SELECT * FROM sys_user WHERE status=1 -- 通过SQL监控页面获取的语句修改

4.2 企业内网渗透案例

在某次红队行动中，我们通过Druid漏洞实现了三级跳：

1. 获取运维人员Session访问PhpMyAdmin
2. 导出数据库连接配置获取内网VPN凭证
3. 通过数据库存储过程获得域控服务器权限

攻击路径示意图：

Druid未授权 → Session劫持 → 数据库凭证 → 内网漫游 → 域控沦陷

5. 防御体系构建建议

5.1 即时缓解措施

# application-druid.yml spring: datasource: druid: stat-view-servlet: enabled: true login-username: dr_admin login-password: $2a$10$xVCHQ7Xn3z2f1Es5jJ.T9e allow: 10.0.0.0/8 deny: 0.0.0.0/0

5.2 深度防御方案

• 网络层：

  • 将Druid监控端口与业务端口隔离
  • 配置Nginx双向证书认证

• 应用层：

  • 实现Session动态指纹校验（IP+UserAgent+GeoIP）
  • 关键操作添加MFA验证

• 监控层：

  • 建立Session异常使用检测规则
  • 对/druid/*路径的访问进行全量审计

在一次金融行业攻防演练中，防守方通过实时监控Druid路径的访问来源，成功在攻击者尝试Session爆破时触发告警，整个过程从发现到阻断仅用时37秒。这印证了漏洞的价值不仅在于攻击利用，更是检验防御体系的试金石。