扫码领资料
获网安教程
来Track安全社区投稿~
赢千元稿费!还有保底奖励~(https://bbs.zkaq.cn)
Keycloak 是一款被广泛使用的开源身份与访问管理(IAM)解决方案,许多组织依赖它来处理身份验证和授权。然而,即使是最强大的安全系统也可能存在漏洞。
起初,我们使用了以下搜索语法:site:*.private.com inurl:Admin | Login
然后发现了这个子域:https://sso.private.private.com/realms/
哇!这是 Keycloak —— 让我们开始探索吧!
当我们访问 https://sso.private.private.com/ 时,
页面将我们重定向至:
现在,在执行任何操作之前,让我们访问这个端点:admin/master/console,
然后尝试使用以下凭据进行测试:(admin, admin)
但不幸的是,这些凭据无效 😞
现在,让我们返回登录页面并执行一个简单的登录操作。(这里是关键点,因为如果你直接访问注册端点,会遇到错误。)
用户名或密码无效!!将 authenticate 替换为 registration
我们成功进入了注册页面!😃🔥
但不幸的是,注册已被禁用。😞
在这里,我有几个选项,但最简单的方法是绕过 UI,直接从文档中删除 "disabled" !!!!
成功了!🎉 现在,让我们使用 Burp Suite 捕获请求。🔥
我找到了这个请求体,在转发请求后,账户成功创建。然而,现在我卡在了待处理阶段,无法访问任何内容!!
好了,现在我该怎么办呢?🤔 我有几个选项:
-
• 执行FUZZING,查找任何隐藏的端点或参数 🔍 -
• 删除 "pending"这个词,看看是否能获得访问权限。 -
• 但最简单的选项是通过 JavaScript( **.js**)文件搜索任何线索! 🕵️♂️
在搜索 JavaScript(**.js**)文件时,我发现了这个:👇
太棒了!现在,让我们在修改一些变量的同时创建另一个账户。🔄
在转发请求后,我现在是一个管理员,并且状态为已接受!🔥
我们成功访问了敏感数据、配置等!🔥
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。
原文始发于微信公众号(白帽子左一):记一次Keycloak管理面板接管
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论