记一次从0到1的漏洞挖掘过程 发现Accesssecret泄露实现权限接管 越权等漏洞

开局一个经典的登录框。一般遇到带验证码的，口令爆破的可能都比较小。一般可尝试绕过验证码的操作：置空、复用、captcha爆破等，这里尝试后无果。随便试了几个弱口令果断放弃。扫目录也没有扫出东西…
没办法了，最后尝试审记JS看有没有未授权接口什么的。F12，启动！通过js发现一个可疑的目录。

访问是springboot的报错白页：针对springboot框架的站一般先看两个东西：env泄露、和heapdump文件。

这里发现存在heapdump文件和env泄露，这里主要看heapdump文件。拖进工具里面分析，拿到云的accesskey和accesssecret 。

然后利用CF接管到云服务器：

无聊挖掘某Src挖到的，该平台存在多个严重逻辑缺陷问题

漏洞1：水平越权删除他人API 影响正常业务
漏洞2：垂直越权可以越权接管服务器
先来看垂直越权：发现平台注册无限制，使用个人邮箱注册个账号１

登录抓包：

发现其中一个接口返回包里有一个鉴权参数roles

尝试更改 /rest/user/isLogin 返回包参数roles为 0

越权成功，测试发现可以直接对API服务器进行操作管理

进一步测试发现该系统直接把登录鉴权逻辑写到前端了。为开发点赞！！

再来看水平越权：
查看该平台相关功能后，发现有一个新加和删除API操作：

抓个包看看该功能的逻辑：是通过appid来控制的

测试发现更改"appId"的值 可以越权查看其他人服务器API信息

再注册一个测试账号２，新加一个api服务，记住id，使用账号１进行删除测试然后抓包，把id更改成账号二新加的api：删除成功

登录账号２看看：删除成功

  最后总结，主要通过JS分析发现敏感文件泄露（如heapdump），利用其获取云服务密钥，另外的案例通过抓包修改鉴权参数或ID实现水平和垂直越权操作。喜欢的师傅可以点赞转发支持一下谢谢！