CVSS 10信息披露+图片元数据不适当处理+大小写绕过速率限制

漏洞1：CVSS 10信息披露

app.redacted.com，是一个在线学习应用程序，适用于企业。但其仅限于会员。尝试使用wappalyzer分析其技术堆栈。

首先想到的是对敏感文件进行目录模糊测试。主要使用 dirsearch 和 ffuf 进行此操作。

首先，我运行了 dirsearch 扫描：

dirsearch -u “https://app.redacted.com” -t 150 -x 403,404,500,429 -i 200,301,302 — random-agent

我使用默认的字典，接着我发现路径/backup.zip的状态为 200，因此备份文件存在未授权访问。而且，文件大小为 11.3GB。

文件下载完成后，我查看了文件内容，里面有非常敏感的信息，包含应用程序的所有源代码、所有应用程序配置、数据库凭据、数据库备份文件、所有本应保密的用户上传内容以及更多此类高度敏感的信息。

最后，我获得了2000美元的奖励：

漏洞2：图片元数据不适当处理

某目标是一个电子商务应用程序，用户可以在其中注册并购买产品，企业也可以注册并销售产品。我彻底检查了所有功能，其中一项功能引起了我的注意，那就是聊天功能，用户可以在其中查询产品，卖家可以回复。这是一个简单的聊天框，但具有文件上传功能。

首先，我尝试测试存储型 xss，但由于有适当的防护，所以我没有成功。

其次，我尝试通过文件上传进行 xss，没有成功。

接下来，我尝试通过文件名进行 xss，也没有成功。

但是我发现，文件的元数据可能造成一些影响。于是我查找了可以上传图片的地方。我尝试使用之前测试过的聊天功能。

照片元数据通常包括：创建日期、作者、文件名、内容、比特和像素大小、主题、GPS 坐标或其他位置信息、相机设置（如 ISO 速度、快门速度、焦距和其他详细信息）、版权信息等

我向图片添加了一些元数据：

exiftool -artist=John_Doe image.jpgexiftool -Location=Street-1,Lane23,Kathmandu,Nepal image.jpg

添加元数据后，我将图片从客户聊天框发送到卖家。我登录卖家帐户并下载收到的图片。发送后，我们也可以从客户的帐户下载。

下载后，我检查了下载图片的元数据，发现我添加到图片中的元数据仍然存在，这可能会导致事后任何拥有该照片的人泄露照片拍摄地点或其他个人信息。

最后，他们接受了这个漏洞并支付了我 200 欧元。

漏洞3：大小写绕过速率限制

某目标存在登录页面，对登录处进行爆破，但在我发出 17 次请求后就屏蔽了我。

我尝试了多种方法绕过速率限制，例如：

X-Originating-IP：127.0.0.1 X-Forwarded-For：127.0.0.1 X-Remote-IP：127.0.0.1 X-Remote-Addr：127.0.0.1 X-Client-IP：127.0.0.1 X-Host：127.0.0.1 X-Forwared-Host：127.0.0.1

我也尝试注入空字节，例如%00, %0d%0a, %0d, %0a, %09, %0C等，但不起作用。

那么，大小写是否能够绕过速率限制呢？

通过测试发现，在请求包中将/api/v3/login修改为/api/v3/logiN，即可实现无限制爆破。

复现过程如下：

1、进入登录页面：https://app.target.com/signin?ga=xxxx

2、输入正确的电子邮件（用户名）并输入错误的密码

3、使用 burp suite 捕获请求并发送给 intruder。

然后修改

POST /auth/identity/callbac[k] HTTP/1.1

为

POST /auth/identity/callbac[K] HTTP/1.1

4、开始攻击，发现应用程序不存在对我们的速率限制。

5、攻击完成后，所有请求都是 302，但只有一个请求是 200，这意味着 200 是正确的电子邮件用户名和密码。

原文出处：
https://medium.com/@sugamdangal52/information-disclosure-that-made-me-2000-in-under-5-minutes-63e1ce00ca07
https://medium.com/@sugamdangal52/first-200-bug-that-started-my-bug-bounty-career-c11a871e116f
https://medium.com/@asingh25377/bypass-rate-limit-via-case-sensitive-method-49feb814bc6e

SRC漏洞挖掘培训

玲珑安全第三期如约而至

第二期玲珑安全培训班来啦！

玲珑安全第一期SRC培训班即将开课！

往期漏洞分享

破解邀请码实现未授权访问和账户接管

子域名模糊测试实现RCE

通过导入功能将权限提升至管理员

SSRF：Microsoft Azure API 管理服务

Oracle Apiary：SSRF获取元数据

SSRF 之 Azure Digital Twins Explorer

1000美元：重定向的故事

玲珑安全交流群

玲珑安全B站免费公开课

https://space.bilibili.com/602205041

原文始发于微信公众号（芳华绝代安全团队）：CVSS 10信息披露+图片元数据不适当处理+大小写绕过速率限制