从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API

admin 2025年7月9日01:46:00评论0 views字数 1424阅读4分44秒阅读模式

官网:http://securitytech.cc/

今天,我将与大家分享我最近在 hackerone 上的一个私人程序中发现的我认为是误报的发现。

问题:

我找一个私人项目已经有一段时间了。回报不错,范围也不错,而且我已经在那里提交了几份有效的报告。

有一天,我像往常一样检查一些端点,发现了一些漏洞,例如XSS和IDOR。在搜索过程中,我发现了一个处理表创建的函数,并注意到同一个端点有两个版本:一个较新版本和一个较旧版本。这引起了我的注意。

我尝试了新版本中的一些错误,但一无所获……

从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API

之后我浏览了旧版本并尝试了 XSS、IDOR、权限提升等。

之前我创建了两个帐户,一个是管理员帐户,另一个是同一组织/实例中的常规帐户

🚩 第一次尝试

我以管理员身份登录并创建了一个表。

以普通帐户登录并尝试在没有任何权限的情况下访问表,但失败了。

返回管理员帐户并为普通用户分配“ read_only”权限。

再次以“read_only”用户身份登录,并尝试访问管理员创建的表。现在,“read_only”用户可以访问该表。但他无权更改表中的任何内容,也无法创建表,只能查看由获得许可的用户或管理员创建的表。

于是,我以低权限用户身份发起了一个 API 请求来创建表。结果!请求返回了200 Ok响应,我以为发现了一个新的漏洞。

从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API

但是当我刷新管理员“只读”用户的UI页面时,什么也没发现。我刷新了页面差不多5-6次,但什么也没发现,我以为这可能是误报(每个黑客的常规做法)……

我的反应是……

从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API

之后,我去外面喝咖啡。

🚩 第二次尝试

稍事休息后,我回到工作地点,开始考虑用同一个端点再试一次。

现在我回到同一个端点,并尝试通过低权限用户的 API 请求创建一个表,结果还是一样……(得到 200ok 响应,刷新了 UI,没有找到任何内容)

从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API

第一个请求

我再次发送了相同的请求,这次的响应是 403 禁止。

从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API

第二次请求

我很好奇发生了什么事,我当时想......

从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API

但是当我刷新 UI 页面时我什么也没发现:)

然后我想到为什么不再次从直接 UI 创建表格:)

我一边思考,一边进入“管理员”的 UI 页面,并尝试直接从 UI 创建一个表。

🚩 最后的尝试

当我尝试创建表时,出现了一个弹出窗口,提示“无法创建表,因为另一个操作正在运行”

从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API

然后我的反应是……

从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API

为了消除我的困惑,我过了一段时间又做了同样的事情。得到的答复也一样。

之后我等了一会儿,回到了同一个终端。我看到表已经创建好了,而且表的所有者是“view_only”用户 从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API

从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API

我立即制作了一个视频 PoC 并撰写了一份关于该程序的报告,几天后,程序分类人员对我的报告进行了分类并授予我 $$$$ 赏金。

从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API

💡 实现

一个 API 请求实际上在后台触发了表的创建,尽管我没有立即在 UI 上看到任何结果。它被排队了。延迟的反馈使操作看起来像是失败了,但实际上,它默默地成功了。

🔚 最后的想法

漏洞赏金狩猎并不总是与高危远程代码执行(RCE)或炫酷的漏洞利用有关。有时,它需要密切关注细微的不一致之处,相信自己的直觉,并在发现问题时坚持不懈。

感谢阅读!
如果你也在探索漏洞赏金计划,或者刚刚开始,请保持好奇心,持续测试,不要低估再次尝试的力量。

  • 公众号:安全狗的自我修养

  • vx:2207344074

  • http://gitee.com/haidragon

  • http://github.com/haidragon

  • bilibili:haidragonx

  • 从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API
  • 从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 API

原文始发于微信公众号(安全狗的自我修养):从“可能是误报”到 $$$$ 赏金:我如何利用一个被忽视的 API

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年7月9日01:46:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   从可能是误报到 $$$$ 赏金:我如何利用一个被忽视的 APIhttps://cn-sec.com/archives/4233110.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息