漏洞复现过程涉及相关敏感信息都是胡编乱造的,请勿对号入座!
首先,访问某SRC专属资产:
https://bcms.zeutor.net,页面空白(老演员)
检索js获取到了未授权接口和参数,但此时缺少baseUrl端点,直接拼接该api到域名上请求发现没有漏洞就放过去了属于ruozhi行为:
/dmapi/dm-wowerk-user/wowerk-hsrm/findPormissionByQwUserIdOrQlId?qwUserId=
通过抓包加载每条路由发现其中一个端点:/api/agent,现在WEB站点基本上采用的多端点API设计,一个站点不可能只采用一个端点,可以靠访问所有路由或功能点来加载出所有的端点。
以下是一个不同路由加载不用端点的示例(baseUrl):
拼接规则:baseUrl(域名+端点)+API
https://bcms.zeutor.com/api/agent/dmapi/dm-wowerk-user/wowerk-hsrm/findPormissionByQwUserIdOrQlId?qwUserId=1
那么我们直接访问该未授权接口发现还是行不通的,既然没有报权限错误,报了企微配置错误,那么一般情况下都是可以继续利用的,只是缺少了参数,小问题。
众所周知企微的id一般叫Corpid,那么我们再次检索Corpid,找到了
corpId: 'wx50a687b951e2971'
为什么我会想到去检索Corpid呢,因为在调用企业微信的API接口(如发送消息、获取成员信息、管理客户等)时,CorpID是必传参数,用于验证请求是否来自合法企业。
拼接了Cropid后构造如下所示数据包进行未授权访问成功:
原文始发于微信公众号(赤弋安全团队):SRC挖掘之接口未授权访问
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论