CVES实验室
未授权接口
目标站点:
https://www.xxx.com/#/auth/401
即使有账号也是无法登录的,需要管理员给予授权才行。
在反馈功能处没有挖到xss与任意文件上传漏洞,但是可以收集到大量路径、api接口:
复制扔到burpsuite枚举即可。
第一遍:筛选出 200 和 405,html就大概看一下就行了。
筛选405是因为可以更换请求方式。
然后随便弄个接口改一下POST,发现报错:Unsupported Media Type,修改Content-Type为json。
修改完之后还要加上空的json:{ },这样成功返回一些信息。
第二遍将修改好的格式再跑一下405的,upload接口上传有些问题没有深入测试,看到还是有一些返回的信息。
然后经过筛选,提取出了几个未授权的接口,判断有没有返回信息。
scg-api/xx/xxxx/xxxx/queryxxxt
scg-api/xx/xxxx/xxxx/updatxxxx传 {“id”:”1”}
scg-api/xx/xxxx/xxxx/addxxxx
差不多三个接口,观察一下都是有关黑名单操作的,说明字段信息很有可能是相通的,add很有可能存在未授权添加,但是字段不清楚,query返回所有的黑名单类型,能不能把返回的字段放到add里面?
可以。
如何验证是不是真的添加上了呢,updat接口,看到xxxd样式可以fuzz出查询的接口:queryxxxd,返回405,说明该接口存在。
再加上id,返回信息。
然后爆破id到自己添加的即可。
原文始发于微信公众号(Arr3stY0u):SRC漏洞挖掘之未授权接口
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
2023年6月22日 下午5:48 1F
复制扔到burpsuite枚举即可 。请问这句话什么意思?
2023年6月23日 下午3:47 B1
@ zztt 将接口、路径扔到burp的intruder,类似爆破用户密码