前言
这次测试没啥技巧,全靠个人细心程度,可能一次的测试发现不了或者麻烦,反正总之就是摆烂了,我就是这样。不过我发这篇文章除了和大家一起分享之外还是这次测试挺容易的,感觉咱们国内的安全建设回到了2016年的时候。这也和开发者确实太过粗心或者根本没有考虑安全开发这一环有关系。
直接天眼查,企查查啥的进行收集一下有软件著作啥的公司,公司应该不少,有时候运气就是比实力的要来的容易,第一个公司就看对眼了。当然和如下图没关系,不过我的简单信息收集就是这样的朴实无华,不然怎么能说运气呢[dog]
点进公司名称可以看到网址直接测绘空间网站进行子域名查询(一贯得到套路)
这种啥系统的直接点击访问看看在说,我一般都是先访问这种标题为啥系统的
接口访问
浏览器访问网站,显而易见的登录口
点击熊猫插件看看接口情况,发现user敏感字的插件,这不直接访问就出货了嘛
直接信息泄露邮箱,手机号,姓名,密码等
BP爆破
一个信息泄露这肯定不满足啊,而且我也去尝试解了一下hash值,但是解不开,可能加salt了,登录进去也没戏,那本着一个安全人员以及开发者的角度看问题,既然接口泄露了信息,看看有啥其它泄露没,本着这个原则就把所有接口复制下来用burp爆破一下
爆破模块
爆破发现很多400,意外发现接口名字比较异常,点进去查看发现提示参数错误
文件下载
浏览器访问该接口添加参数看看情况,发现提示type参数不存在
加上type参数没有提示错误也没反应,一片空白
通过大小写判断可知是Linux系统
尝试path后面跟上/etc/passwd啥的,看看有没有戏,很幸运,直接通过路径穿越下载了passwd文件
再试下/etc/shadow看看该系统用户是否为root用户,也挺巧的,据然是root用户
总结
其实测试还没结束,除了上述文件下载接口还有信息泄露接口之外大概率还有SQL注入以及用户添加接口,只是参数太多,太懒了(虽然这么说,但是花的时间可不少),不想FUZZ。
原文始发于微信公众号(蓝云Sec):接口未授权访问到任意文件下载
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论