【技术分享】发掘泄露的地图key与利用

admin 2025年6月7日01:29:30评论3 views字数 2094阅读6分58秒阅读模式
 

01
地图key
1.1
key介绍
以高德地图为例。高德地图提供的API Key是开发者调用高德地图各项服务时必须使用的身份验证凭证。功能非常多,这里介绍几个核心功能:

  • 地图展示:通过Key加载高德地图的矢量/卫星地图
  • 地理编码:将地址转换为经纬度
  • 路径规划:提供驾车、步行、骑行等导航路线。
  • 地点搜索:POI检索,如搜索“附近的加油站”。
  • 逆地理编码:将经纬度转换为具体地址
1.2
泄露key引发的问题
费用增加:高德地图API通常有免费配额,但一旦超出免费额度,额外的请求会产生费用。

服务中断:如果发现API Key被泄露并被滥用,服务提供商可能会对相关密钥进行封禁或其他措施,可能导致你的应用服务中断。

滥用和超额使用:如果API Key泄露,其他人可能会滥用你的API Key,导致你的账户超额使用配额。

02
环境搭建
2.1
标题空间测绘
fofa:(body="webapi.amap.com" || body="api.map.baidu.com" || body="apis.map.qq.com" || body="map.qq.com/api/js?v=") && is_domain=true

2.2
手动申请
高德地图官方文档:

https://lbs.amap.com/api/webservice/create-project-and-key

创建好账号后,在控制台点击应用管理-创建新应用,来获取key

【技术分享】发掘泄露的地图key与利用

有免费使用的次数限制

【技术分享】发掘泄露的地图key与利用

如果超出了次数限制可以进行充值

【技术分享】发掘泄露的地图key与利用
03
漏洞复现
3.1
标题
此类漏洞经常出现在公司官网关于公司或者联系我们板块中的地图功能

【技术分享】发掘泄露的地图key与利用

key主要在前端、请求包体中泄露,响应包泄露非常少见。

【技术分享】发掘泄露的地图key与利用
3.2
漏洞利用
国内主流的地图厂商分别有:高德、百度、腾讯,这里给出对应的请求示例:

高德webapihttps://restapi.amap.com/v3/direction/walking?origin=116.434307,39.90909&destination=116.434446,39.90816&key=这里写key高德jsapihttps://restapi.amap.com/v3/geocode/regeo?key=这里写key&s=rsv3&location=116.434446,39.90816&callback=jsonp_258885_&platform=JS高德小程序定位https://restapi.amap.com/v3/geocode/regeo?key=这里写key&location=117.19674%2C39.14784&extensions=all&s=rsx&platform=WXJS&appname=c589cf63f592ac13bcab35f8cd18f495&sdkversion=1.2.0&logversion=2.0百度webapihttps://restapi.amap.com/v3/geocode/regeo?key=这里写key&location=117.19674%2C39.14784&extensions=all&s=rsx&platform=WXJS&https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行&region=北京&output=json&ak=这里写key百度webapiIOS版https://api.map.baidu.com/place/v2/search?query=ATM机&tag=银行&region=北京&output=json&ak=这里写key=iPhone7%2C2&mcode=com.didapinche.taxi&os=12.5.6腾讯webapihttps://apis.map.qq.com/ws/place/v1/search?keyword=酒店&boundary=nearby(39.908491,116.374328,1000)&key=这里写key

拿我的key做示例:28aebc9c35a582467c153e012b0bb244,已知是高德的所以直接使用高德的接口来调用一下是否能返回数据

https://restapi.amap.com/v3/direction/walking?origin=116.434307,39.90909&destination=116.434446,39.90816&key=28aebc9c35a582467c153e012b0bb244

访问后成功返回数据

【技术分享】发掘泄露的地图key与利用

获取到的key不知道是哪个平台的就只能每个接口尝试一下了,如果是对应平台的key就可正常返回数据。也有特别的情况:对方做了防御,这个key只能由指定ip使用该服务。

【技术分享】发掘泄露的地图key与利用

如果设置指定ip,获取到key后通过接口请求则会返回错误码

【技术分享】发掘泄露的地图key与利用

对应的错误码

【技术分享】发掘泄露的地图key与利用

这是高德的错误码对照表

https://lbs.amap.com/api/webservice/guide/tools/info
 

原文始发于微信公众号(我吃饼干):【技术分享】发掘泄露的地图key与利用

 

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月7日01:29:30
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【技术分享】发掘泄露的地图key与利用http://cn-sec.com/archives/4139517.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息