一、前言
稍稍总结下2023年挖到和见到有意思的挖掘经历。
二、My TOP 5 Hunting
1、某市XXX任意账户完全接管
@djerryz、@ryze
难度:⭐⭐⭐
技巧:⭐⭐⭐⭐⭐⭐
描述:通过一种有趣的技巧绕过人脸检查,实现登录任意目标的账号,实现完全权限的接管。可以查询其工作经历、缴纳情况、甚至可申请提取,涉及人数之多、数据之敏感,排其于第一。
收获:在杭州我遇到的公家单位会比较open,积极解决问题,而不是解决发现问题的人,所以在"这儿"尝试直接去对接这个问题内心还是比较忐忑,要知道前不久就在"这儿"背了个通报。但非常令我欣慰的是,遇到的这位领导有极高的专业素养和解决问题的意愿,很荣幸的获得了感谢信,不想说一些为国为民的空话,事实是顺利的解决了一个非常有价值的问题,是次非常愉快的经历,最后收获的认可更是锦上添花。
![[AOH 029]YEARMIX 2023](http://cn-sec.com/wp-content/uploads/2024/01/1-1704382924.jpeg "[AOH 029]YEARMIX 2023")
2、XX-两条攻击路径->接管多个存储服务、21k开源项目 、数据库->内网渗透到运维、办公网
@djerryz
难度:⭐⭐
技巧:⭐⭐⭐⭐⭐
描述:攻击点是其云产品-AI业务线,通过信息泄露的路径达成多项接管成就,换了个思路通过水平越权达成同样的攻击成果,利用泄露的敏感配置打通到内网,可达办公、运维网络,配合泄露口令访问内部研发接口等。整个过程一气呵成、泄露的数据量、可接管目标之多、内网关键网段可达、接管的开源项目服务22万家企业,且与AI业务高度相关,综上整体攻击成果排其于第二。
收获:0元 + 承诺书
![[AOH 029]YEARMIX 2023](http://cn-sec.com/wp-content/uploads/2024/01/10-1704382924.jpeg "[AOH 029]YEARMIX 2023")
3、XX-团购-敏感信息泄露
@djerryz
难度:⭐⭐⭐⭐
技巧:⭐⭐⭐⭐
描述:这家SRC运营很好,今年没出洞的情况下,给了个参会的名额,本来没打算挖洞的,su神和SRC运营都希望我出洞,整的不出洞都对不起自己,那就干。漏洞点的接口还是比较简单,需要细心地剥掉各种干扰的参数和头,剩下的就是对参数的水平利用。对于黑盒而言这并不容易,由于参数特别的长和没有规律,因此需要拿到足够多的参数来验证问题的存在,这儿需要破解下APP的抓包,以及一些签名算法,这样就可以定向且一键拿到目标的id参。提交漏洞时心想稳稳的,毕竟对于这种数量级别和数据敏感度的漏洞在提供了POC和下载的样例数据下,板上钉钉。但是还是出了点岔子没拿到预期的奖励,不多说了,这家SRC还是比较给力的,给力就完事。
收获:¥1.3w
4、某重工集团核心存储接管+水坑钓鱼
@djerryz、@ryze
难度:⭐⭐⭐
技巧:⭐⭐⭐⭐⭐
描述:Spring Actuator信息泄露到接管整个集团的云盘存储业务系统,涉及海量标记为秘密、机密级数据;涉及大量重要系统的备份信息,全公司SSO凭证等等,展现了ryze高超的信息收集艺术。后续配合此漏洞实现了水坑钓鱼攻击拿到更多口令等等,非常有趣的经历。
收获:6000分
5、2023双十一保卫战师长
@djerryz
难度:⭐⭐⭐⭐
技巧:⭐⭐⭐⭐
描述:美团 - Object篡改、小米 - IDOR to whole app info leak、百度 - pass、OPPO - IDOR、阿里 - IDOR+任意登录、网易 - IDOR+takeover DBs 六家高危;
收获:
![[AOH 029]YEARMIX 2023](http://cn-sec.com/wp-content/uploads/2024/01/2-1704382926.jpeg "[AOH 029]YEARMIX 2023")
三、Friend’s TOP 3 Hunting
1、云负载IP欺骗
@su
难度:⭐⭐⭐⭐
技巧:⭐⭐⭐⭐⭐⭐
描述:编写WEB API接口,在代码层面强制检查了IP请求源是否为127.0.0.1,若不满足则拒绝访问;利用这个漏洞和攻击方式却能成功访问到接口,开始我是不信的,看到POC和报告后,我只想说->
![[AOH 029]YEARMIX 2023](http://cn-sec.com/wp-content/uploads/2024/01/1-1704382927.jpeg "[AOH 029]YEARMIX 2023")
2、JYB-HW-第一名
@北大学生
难度:⭐⭐⭐⭐⭐⭐
技巧:⭐⭐⭐⭐⭐⭐
描述:什么叫做银河战舰的实力,大佬们分分钟审出0day后,嘎嘎乱杀,供应链打法炉火纯青,一天穿一个靶标,攻防双第一成绩的背后就是硬实力,见识到了什么是天赋+实力双重加持;比工作多年的经验和手法都专业和老道!
3、云逃逸接管
@su
难度:⭐⭐⭐⭐⭐⭐
技巧:⭐⭐⭐⭐⭐⭐
描述:不能写太多,免得看起来太舔了;云上权限管理的一些攻击面和利用技巧,包括很多深入云的业务的攻击思路和思考,学到了很多;还想学,带带弟弟。
四、总结
自我感觉不是一个很喜欢卷的人,就是挖到很多洞都不想去交那种,所以有好挖的可以赶紧挖掉,有挑战性或者有深度的挖掘才是我的最爱;对于挖洞还是心怀感激、是馈赠,功利心太强会陷入自我怀疑或者不愉快的境地,所以感谢@su,@ryze,@k,@祝祝,@key等,你们的无私分享,和你们有价值的思考和交流让我学习很多。2023,丢掉了半颗心,我知道再也找不回,做了很多不该做的事,财去人安乐吧,好在年末,很幸运落脚在一个技术force的团队。五年前刚毕业我知道我想要什么,做一个优秀的工程师,所以多少个夜晚到白天完成工作的挑战、学习专业技术、完成大量的代码,掉了那么多头发我认为特别值得,但站在现在的位置,我有一丝迷茫,听从内心的指引。
原文始发于微信公众号(KQsec):[AOH 029]YEARMIX 2023
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论