从用户注册绕过到纵向权限提升
0. 引言
在我进行漏洞挖掘活动时,遇到了一个相当独特的案例——一家使用 SaaS 平台的公司,其业务专注于合作伙伴管理领域。
从总体概览来看,该应用为两种不同的用户群体提供了两个独立的登录页面:
https://partner.company.tld
),在 HTTP 请求中会重定向到“https://org-entity-name.saas-platform.tld
”端点;https://portal.saas-platform.tld
)。1. 合作伙伴页面上的应用类型和通用登录流程
partner.company.tld
上注册时(会重定向到 https://org-entityname.saas-platform.tld/api/register
端点),应用显示注册成功(因为出现了注册成功的提示信息,并且提示注册者查看邮件),但实际上我们并未收到任何邮件中的确认链接。2. 员工页面(公司)的通用流程
2.1. 检查 portal.saas-platform.tld
的登录流程
https://portal.saas-platform.tld
子域名。2.2. 通过URL操作进行注册测试
2.2.1. 公司页面概览
/api/register
进行注册,那么在产品B中采用类似方法的可能性很高。/register/
添加到 user-portal.saas-platform.tld,无论它是否从 /api/
路径开始。例如:2.2.2. 密码重置请求——获取不同端点的“关键”
3. 登录公司仪表板
4. 寻找用户创建功能
5. 寻找实体ID哈希和账户ID哈希
6. 将实体和账户哈希ID放入请求中(https://admin-portal.saas-platform.tld/api/user)
7. 总结
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。
原文始发于微信公众号(白帽子左一):从用户注册绕过到纵向权限提升接管SaaS平台
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论