引言
最近朋友跟我一起把之前廢棄的公眾號做起來了,更名為鹿鳴安全團隊,后面陸續會更新個人筆記,有趣的滲透經歷,內網滲透相關話題等,歡迎大家關注
前言
Hvv中的一個很有趣的漏洞挖掘過程,從一個簡單的API泄露到一系列漏洞。這次的經歷更讓我體會到了細心的重要性。
挖掘起始
Hvv中拿到了一大堆的資產,有IP和URL的,我一般會先去手動挖掘已經給了的URL資產。面對眾多的URL資產,怎么下手呢,我通常會選擇去跑一下Title,然后根據Title來選擇軟柿子捏。
比如下面某個業務應用系統,定位好了,就開始手動測試挖掘了。
打開URL進入這個業務應用系統,首頁就是登錄頁面,見到這樣的無驗證碼登錄頁碼,直接起Burpsuite固定用戶名字典然后爆破弱口令嘗試。嘗試了5分鍾的弱口令爆破無果后,選擇轉換攻擊思路。
轉換思路
轉頭去看下URL:http://fxxx/wxxx/login.html感覺可以嘗試下是否存在目錄遍歷的問題
於是轉到上層目錄查看的時候http://fxxx/wxxx,發現頁面有一個渲染的加載的過程,然后才跳轉到login.html登錄頁面,而且/wxxx目錄看上去又像一個未授權的頁面。於是Burpsuite在/wxxx一個一個放包,觀察轉到/wxxx/login.html過程中加載了什么東西。
通過Burpsuite一個一個放包發現了一個特別的API調用接口
在這個API接口之上再往前跨目錄,直到回到根目錄/DFWebAPIServiceHT下發現是一個接口數據庫系統
該系統存在非常多開放的接口,並且每個接口下面,還有詳細的調用參數以及調用方法,過多的接口數據就不放了
因為進入該業務系統后是一個登錄頁面,於是我直接去尋找是否有用戶信息的一些相關接口開放。找到了如下接口
通過/SXXXX_User/get接口可以獲取到用戶名相關的Json數據,其中的user_id鍵值就是用戶名
通過該接口獲取到了很多的用戶名,這些用戶名的設置確實刁鑽,例如pte,dpsas等用戶名,這是難以簡單猜解到的。通過收集獲取到的這些用戶名,再次進行弱口令爆破。這里的登錄頁面對表單中的用戶名密碼進行了Base64的加密。
有一個很簡單的方法,將收集到的用戶名和簡單的幾個弱口令全部B ase64編碼后放到txt里,然后導入Burpsuite的Simple list模式的payload中。這是比較簡單的方法。
我這里用的是BurpCrypto插件來定義Execjs來將兩個表單項在爆破過程中同時進行Base64編碼。需要我們定位到加密或者編碼的js位置,由於用的是Base64編碼,圖簡單,用上面字典的方法即可。同樣的Burpsuite爆破模塊中可以通過設置payload processing進行Base64編碼設置也可以起到一樣的加密效果。
柳暗花明
使用上述方法一頓爆破后,真的爆破出來了一個普通用戶弱口令123456。拿着這個弱口令,我登入了系統,發現該系統只是一個外殼,里面還有很多的分系統。
這讓我非常的欣喜,我猜想這些系統的賬號密碼可能是互通互聯的。經過測試發現,這里面只有兩到三個系統可以正常訪問,且賬號密碼並不都是互聯互通的。其中有一個決策系統,通過剛剛爆破出來的用戶弱口令是可以進入該系統的,且用戶認證為灌區管理員,權限還是非常的低。
由於權限還是太低,只有兩個沒什么用途的菜單,翻找了很久,都沒有發現可利用的地方,或者可以上傳shell的地方,索性放棄拿shell。但是打開右上角人員設置界面的抓包中發現了有意思的地方,在人員設置中有一個修改密碼的表單設置,雖然是********,看不到具體明文,但是在返回的包中是直接顯示出來的。而且Get請求里有一個很有趣的參數就是id=用戶名的這個參數。
也許我可以遍歷之前用戶接口泄露出來的用戶名來嘗試獲取用戶密碼?
有了這個想法后,我直接起Bp的爆破模塊,來遍歷用戶名嘗試,果不其然。
這里沒有鑒權機制,可以直接通過遍歷ID用戶名參數,就可以獲得對應的用戶密碼。
通過上面的越權漏洞獲取到了高權限的用戶密碼,如root,admin,xxadmin等。利用高權限用戶登錄后,發現后台多了非常多的菜單,然后查找下敏感信息,發現泄露了很多敏感信息,並且高權限用戶是可以直接看到所有的用戶密碼的。
通過上述組合式的漏洞發現和利用,提了不少分。通過這次測試感受到了手測的魅力,還是非常的有意思的。其中這個接口數據庫還有非常多的敏感接口,比如權限變更,文件上傳,而且在此次測試中,發現了兩個類似的API數據庫,但是另一個利用價值不大,所以這里沒寫。
結語
總結下上述的流程,從一個跨目錄的嘗試到大量API接口的泄露再到垂直越權獲取管理系統的管理員賬號,再到后台敏感數據泄露。總之,就是在手動挖掘漏洞的時候,要注重每一個細節,嘗試多種可能性,富有創造力的去將一些可能的漏洞點結合,這樣能大大的增加漏洞挖掘的命中率。
該文章首發於奇安信攻防社區