前情提要
上集主要讲了我跟哥哥学到的篮球技术(grafana),感兴趣的可以回到第四集学习。
小黑子在企业src挖掘时的意外之喜-第四集
这次我们要讲的是在挖掘小米src时不小心挖到合作商的故事。
正片开始。
我们知道小米src的web资产相对其他大src来说比较少,所以每次月榜上都是寥寥可数的几个人。我当时正瞅着不知道从哪上篮,然后我就想能不能打打米家的一些边缘资产,找找有没有上篮机会。
反手就掏出我们的上篮神器篮球火(fofa),一顿语法操作搜索米家相关资产,此时一个十分简约的管理系统映入眼帘。
这不是我们熟悉的背带裤系统(无验证码)吗,直接反手就是穿上开始运球。经过一顿闪电五连鞭操作(爆破,万能密码,弱口令),也是直接就被ko了。
两年半篮球经验告诉我这很可能是spring类似的框架,所以我们直接掏出背带裤(spring字典)一顿狂舞,果然不出所料。
一顿spring连环拳(heapdump分析,历史漏洞查询),然后也是发现存在内网相关信息,直接提交。不出意外的话就要出意外了。
不过审核大大的一番话还是让我鼓起勇气继续上分。
除了actuator未授权,我们发现还有api文档泄露,对api文档的api进行挨个篮球技术测评,让我逮住一个小黑子没有好好练习篮球技术(未授权泄露信息),不过密码是hash加密的。
但是根据我两年半篮球经验又告诉我,肯定有用户密码是123456,果然不出所料,利用泄露的用户名和密码123456进行爆破,直接接管多个用户。
进入管理页面后,我非常兴奋地看到有iot设备的操作功能,我心想,这不直接上波三分球,正当我以为没有意外的时候意外又发生了(打到铁板了)。
正当我以为运球白干的时候,审核大大的一番话让我感觉到有上分的希望。
于是就出现了开头的一幕。最后友商也是十分给力,给我来了两个小米家电。
总结:像spring框架的网站,一般可以从actuator未授权,api鉴权不严等去进行渗透。
最后提一句,有想用破壁机的小黑子大黑客可私信我。
以上内容全部是小黑子个人理解,需要纠错提建议的的小黑子大黑客们后台私聊。创作不易,喜欢小黑子的可以转发点赞赞赏走一波,非常感谢。
两年半网安练习生):企业src意外之喜系列第五集(小米src)
评论