攻防案例分享-从接口到靶标

公众号好久没更新了，最近参加了些攻防演练，找点有价值的案例，给朋友们分享一下。接下来的案例内容看标题也能猜到和接口相关。

近期打的一些攻防相对前两年越来越难打，企业越来越重视网络安全、数据安全，攻防演练也越来越多，针对已知的漏洞基本能及时的打补丁、升级，导致演练中能直接使用1day、nday的点也越来越少。

作为红队，除了挖掘（白嫖）0day，还应该积极去发现其他利于攻击的点。这里分享一下我通过接口泄漏一路杀到靶标的案例，同时涉及到的一些我经常用的小技巧和工具给朋友们分享一下。

注：有些内容涉及敏感信息，被重码，影响阅读体验请谅解，关注攻防思路（狗头）。

一 接口泄漏

话不多少，利用工具（笔者使用的灯塔）做资产收集和整理，在扫描中发现swagger接口。

1 发现接口

swagger接口

https://www.xxx.net/swagger-ui/index.html 该接口运用比较多，若网站未做访问限制，可直接获取接口的详细信息。

小技巧：渗透或者攻防时，可以配合BP的插件APIKit 使用，该插件可以自动请求相关接口，获取接口的返回数据，这样可以快速的了解到哪些接口是未授权可以访问的。

其他情况下接口测试分享：

在渗透时，经常会遇到在js文件中包含了大量后台接口，此时为了探究这些接口是否存在未授权或者越权，需要逐个访问这些接口并判断返回的内容。如果接口数量很多，这种方法相当繁琐。

可以用如下方法解决：收集所有接口地址到文件中，通过bp中的Intrude模块遍历（GET/POST）这些接口，最后筛选存在返回内容的数据包。 

收集js中的接口可以使用脚本过滤，也可以使用火狐插件FindSomething，在path内容中搜集站点js中的相关接口。点击复制，到文本中即可。 

虽然这种盲目的直接使用get或者post请求接口，获得成果的概率不大，但个人认为还是有必要操作的，说不定有意想不到的结果。（下一篇案例将会分享）

继续回归到案例中

2 未授权接口

对获取的接口进行分析，发现多个未授权接口，可返回大量敏感信息。

1. 未授权获取登陆日志 重点接口：返回用户登陆日志，包含用户名、手机号。

2. 任意修改用户密码

修改密码接口存在未授权，知道用户名和手机号即可修改用户密码

数据请求如下

至此，该站点只要登陆过的用户，都可以修改密码，获得其用户权限

3 信息泄漏

1. 接口未授权导致的泄漏

在众多接口信息中，发现getObsParams接口，可获取华为云 ak/sk

2. 前端js代码中的泄漏 前端js中，配置了云存储相关参数，泄漏了ak/sk。

该泄漏是在打完后其他同事发现的，因为上面发现了接口问题，一直在深入，所以就没有去访问这些接口对应的网站页面。还是同事够细。

注：发现此类js、html等前端页面的敏感信息，推荐使用上面提到的FindSomething、和BP插件APIFinder（github搜即可）。

二 接管华为云控制台

通过接口未授权获取的敏感数据ak/sk，可以直接获取云控制台权限。

使用cf工具接管，该工具在github项目已经关闭，不过在网上还是能搜到的。

查看所拥有的权限

该ak/sk拥有所有云服务权限。

接管控制台

登陆云控制台

可获取如上图资源成果。

三 获取靶标

经信息搜集发现该目标靶标在堡垒机上，同时堡垒机是使用的华为云堡垒机

于是可利用接管的控制台权限，查看堡垒机信息，并获取堡垒机管理权限。

登陆堡垒机后台管理系统，需要进行二次验证，在没账号密码没验证码的情况下是无法登陆的。但是云控制台提供了一个可以重置管理员密码和重置认证方式的功能。（注意：严格遵守攻防演练，报备后操作）

默认的登陆方式是使用用户名和密码登陆，不需要二次验证。重置后登陆web界面

利用堡垒机获取目标靶标系统

总结

整个攻击路径如下：接口泄漏-接口未授权-接管云控制台-接管堡垒机-获取靶标。

由于swagger接口页面没有限制访问，同时在系统开发过程中存在大量的接口未授权和越权，导致大量敏感信息泄漏，千里之堤毁于蚁穴。

以攻促防，站在防守角度思考问题，除了以上问题以外，管理者在配置云存储的时候，应当在创建ak/sk时权限最小化，防止攻击者在获取到ak/sk时进行大范围横向渗透；

随着业务上云的客户越来越多，个人认为云服务商也是一道非常重要的安全防线，有时候租户安全性部分取决于服务商。比如在重置密码或者重置认证方式时，应当强制租户使用二次验证，提高租户的账户安全，以防止攻击者在获取到云权限后随意更改安全设置。

工具地址

APIKit

https://github.com/API-Security/APIKit

BP插件，APIKit可以主动/被动扫描发现应用泄露的API文档，并将API文档解析成BurpSuite中的数据包用于API安全测试

FindSomething

火狐插件，用于发现前端页面里的敏感信息、路由、接口、URL等数据。

APIFinder

https://github.com/shuanx/BurpAPIFinder

BP插件，敏感信息指纹识别

CF

https://pan.wgpsec.org/%E5%B7%A5%E5%85%B7/%E7%BB%BC%E5%90%88%E5%B7%A5%E5%85%B7/CF

云环境利用框架