某众测黑盒0day挖掘获得奖金上限

某众测黑盒0day挖掘获得奖金上限
2022-12-29 08:32:27 Author: 潇湘信安(查看原文) 阅读量:24 收藏

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

文章来源：奇安信攻防社区（349223646）

原文地址：https://forum.butian.net/share/2048

0x01 前言

刚开学没多久在宿舍隔离上网课，无聊看漏洞众测平台发布了新项目（好好学习，好好听课，不要逛SRC）。

最高奖金一千块，然后成功报名并通过审核占到茅坑（占着茅坑不拉屎）

0x02 正文

使用奇安信的资产收集平台直接找到用户服务系统，访问地址

http://user.xxx.cc/newlogin

然后拿自己手机号码注册个账号登录进去。因为是众测，贵公司也关了好多功能不给用，所以注册的账号进去只是个空壳，并没有什么功能点。

然后点击右上角的应用中心会跳过这个系统进入下一个子站。然后使用F12大法开始审计JS，看看JS文件里有没有开发遗留的账号和链接接口。

最终在一处文件中发现一处接口：

https://xxx.xxx.cn/xxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode=

访问接口，页面提示无法获取到UserCode参数：

https://xxx.xxx.cn/xxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode=

根据UserCode参数里面的User，猜测是关联用户名，于是加个admin尝试，提示该用户没有关联GS用户，验证了我们的猜测。

https://xxx.xxx.cn/xxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode=admin

然后抓包遍历用户名，发现有几个302重定向跳转了：

然后在UserCode参数后面加上遍历出来的用户名。（这里不使用真实用户名）

wshwshwshwshwshwshwshwshwshwsh

选取其中一个去访问：

https://xxx.xxx.cn/xxxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode=wsh

然后302跳转进入到核心系统：

https://xxxxx.xxxx.cn/xxxxx/web/gsprtf/main.aspx?

然后进入应用里面查看，全是合同等敏感数据，还可对其增删改查。

看到了我最喜欢的报账功能：

里面的功能模块还有很多可以测。但是因为系统比较敏感，就不做多余的测试（其实是奖金池奖金不多了）。然后提交漏洞获取赏金，点到为止。

最后去fofa指纹识别一下，发现是一个通用漏洞（意外收获），但是使用的资产不是特别多：

随便找一个站测试：

贴上跟前面一个系统一样的接口，得到一样的结果，证明了通用性。

https://xx.xxx.com.cn/xxxxx/web/singlelogin.aspx?AuthType=UserMap&AppCode=BI&UserCode=

关注有礼

关注公众号回复“9527”可以领取一套HTB靶场文档和视频，“1208”个人常用高效爆破字典，“0221”2020年酒仙桥文章打包，“2191”潇湘信安文章打包，“1212”杀软对比源码+数据源，“0421”Windows提权工具包。

还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247500374&idx=1&sn=999d104592f75c55e3fd41e7cbd192c0&chksm=cfa56645f8d2ef5300e76a5229dcbd98a16de00c22af256803bc4a501f01327d4027a60e612c#rd
如有侵权请联系:admin#unsafe.sh