实战 | 从分析js到未授权接口敏感信息泄露

admin 2025年1月11日13:58:43评论5 views字数 2123阅读7分4秒阅读模式

前言:逐渐我发觉,写博客没有意义,会的人不看,不会的人看不懂 ,而且这东西不给钱,既然这样质量很重要吗?

最近几天,单纯想挖挖某个学校,原因很简单,单纯看不惯管理,,,,打了两天点,shell没拿到,挖到一堆接口和敏感信息泄露。想谈一下挖掘站点的时候弱口令和接口的重要性。

成果:

1.某备案站点接口未授权全校师生信息泄露
2.某站TP框架全站日志泄露

一些能打组合拳的地方:
1.某站403站点下的二级目录phpmyadmin 版本4.8.1
2.tp框架有后台登录
3.403站点下的fck编辑器

========================================

0x01. 备案站点未授权接口

资产发现:浏览网站发现有个点击报修,然后就跳到站点,拿去whios识别了,确定是信息收集漏掉的资产

实战 | 从分析js到未授权接口敏感信息泄露

然后业务就只有一处报修信息,而且很奇怪的有***,如图

实战 | 从分析js到未授权接口敏感信息泄露

的第一想法是fuzz这个电话号码,直接f12,看到点击查看订单弹窗后方法栈请求了home/repair这个地方

实战 | 从分析js到未授权接口敏感信息泄露

跟进这个524行,是一个ajax的请求接口,看到数据的带*是js处理,也就是前段验证,这里直接访问接口

实战 | 从分析js到未授权接口敏感信息泄露

遍历repId的值得到完整数据,

实战 | 从分析js到未授权接口敏感信息泄露

然后,觉得直接交的话,给不了多少分,,,花一下午写了个脚本,没错,这25行代码,写了一下午,菜的找个班上算了

import requests,jsonfrom lxml import etreefor i in range(8104,9907):    url="http://www.xxxx.com/xxx/xxxx=31{}".format(i)  response=requests.get(url).content.decode('utf-8')  data=etree.HTML(response)  print(etree.tostring(data,encoding='utf-8').decode('utf-8'))  name=data.xpath('/html/body/p/text()')  b=str(name)  print(b)  if len(b)<30:      pass  else:        number=b.split('"RepTel":')[1].split(',"RepTelOther"')[0]        name=b.split('"Rep_UserRealName":')[1].split(',"Rep_OrderNo"')[0]       xuehao=b.split('"Rep_UserName":')[1].split(',"Rep_UserRealName"')[0]        print(name,number,xuehao)        dists={}        dists['number']=number        dists['name']=name        dists['xuehao']=xuehao        with open('a.json','a',encoding="utf-8") as f:            f.write(json.dumps(dists, ensure_ascii=False))

因为数据有3w多条,只遍历3k证明危害足够了,json看上去效果还是不错的

实战 | 从分析js到未授权接口敏感信息泄露

然后,挖掘了某弱口令,大概有20来个统一账号,这里没啥说的,

0x02. 接口x2

很多时候,我们访问网站一些资源,会被服务器策略限制,比如返回403,这时候往往测不下去了,但接口有时候能绕过限制,这两天也挖了很多ueditor的漏洞,比较典型的,某高校211清华大学的ueditor

正常测ueditor文件上传会怎么测?

访问 http://xxx/ueditor  如果demo页面存在,那么通过ueditor插件上传,但大多数服务器会对demo目录做限制,那么,就不能上传了吗?

实战 | 从分析js到未授权接口敏感信息泄露

直接请求上传接口,直接bypass,ueditor/php/controller.php?action=uploadfile

实战 | 从分析js到未授权接口敏感信息泄露

构造POST需要的参数,这里很简单,只需要从别的站套个模板即可

实战 | 从分析js到未授权接口敏感信息泄露

弹xss

实战 | 从分析js到未授权接口敏感信息泄露

谷歌语法收集ueditor : site: xxxxx upload   直接看upload就行。

0x03.某Tp框架全局日志泄露

 由于是外网打点,没有弱口令,挖到很多可以打组合拳的地方没办法直接利用,但不是说,这代表信息收集这些内容没有用处

实战 | 从分析js到未授权接口敏感信息泄露

某站前台日志和后台日志 /logs/admin 以及/logs/home 目录 缺了点运气,3.2.3的框架,但并没记录登录密码

于是乎找到另一处,这些tp框架搜集,可以看指纹 x-ff头 thinkphp

这一处报错了,5.0.24,但直接用poc打,出现问题,我觉得是路径不对,,但手打欠了点经验

实战 | 从分析js到未授权接口敏感信息泄露

于是乎,在ip出口cc段,又找打一处,这处的资产比较隐蔽,可以看到服务器搭建为wamp

实战 | 从分析js到未授权接口敏感信息泄露

这些都是同个ip出口旁站,只要拿下一个shell,其他的都等于拿下,,但不会打,接着继续收集

收集到一处403的二级目录phpmyadmin

实战 | 从分析js到未授权接口敏感信息泄露

爆破1个小时,不存在弱口令,,但cnvd有人交sql注入,但poc会发吗?

实战 | 从分析js到未授权接口敏感信息泄露

绕过了后台有任意文件读取,也可以达到getshell的目录,,总的来说,,外网打点还是差了个弱口令,毕竟弱口令是0day嘛

原文始发于微信公众号(Qaseem安全团队):实战 | 从分析js到未授权接口敏感信息泄露

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月11日13:58:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战 | 从分析js到未授权接口敏感信息泄露https://cn-sec.com/archives/1160230.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息