对某塔的一次随缘
2023-12-9 19:32:9 Author: 白昼信安(查看原文) 阅读量:8 收藏

微信公众号:[白昼信安]
弱小和无知不是生存的障碍,傲慢才是!
[如果你觉得文章你有帮助,欢迎点赞]

目录

引言某塔资产收集漏洞一:白名单绕过信息泄露漏洞二: SSRF漏洞漏洞三: 百万级别商业数据泄露和人员信息泄露漏洞四:未授权上传小结

引言

好久不见,忙忙碌碌一年又快结束了,最近年末,手里的活也少了,准备后面挖挖洞搞搞其他的事情,更新更新小文章,这篇文章也算是水一篇吧,刚好最近在看某塔的资产,挖到几个小洞,刚好凑一篇文章。

某塔资产收集

开始想着搞几个事件的高危,混个运营商的CNVD,然后就开始了信息收集。
本着调软柿子的遵旨,先收集一波子域名,因为像运营商,大型的门户类网站都是被测试了很多次了,所以没必要太浪费事件,我们着重找边缘资产搞就可以。
我是找到某塔备案的主域名后开始用subdomain_shell这个脚本进行收集,一键调用subfinder+ksubdomain+httpx,子域名收集+网站验证,舒舒服服。

项目地址:https://github.com/Mr-xn/subdomain_shell

然后用子域名去定ip,定网段,开始找软柿子。

漏洞一:白名单绕过信息泄露

第一个漏洞网站长这样:


对于这样响应200,但是没有啥东西的网站,个人感觉最容易出货,所以要去多尝试FUZZ目录接口等。
指纹识别后发现为spring,拼接常规的敏感目录。

发现访问heapdump的时候显示403,说明存在,但是没有权限,但是我们加入一个.json后缀后就可以下载下来。
http://xxx.xxx.xxx.xxx/heapdump.json

盲猜可能json是白名单,通过利用白名单绕过了403限制。
然后分析heapdump信息,成功拿到了众多敏感信息,例如数据库账号密码,网站其他接口,内网信息等等。


这样接口等等数据,就可以为我们的后续数据做铺垫。

漏洞二: SSRF漏洞

这个还是老样子,由于框架是spring,所以继续对目录进行爆破,看看有没有其他的东西。
我自己大致把网上spring的敏感目录的路径做了一个整理,共453个,如果需要的师傅后台回复[spring字典]即可。


通过爆破发现存在hystrix。

历史漏洞有模板注入和ssrf,测试后发现只存在SSRF,原本以为可以用其他协议进行探测,但源码直接卡死,只能用http/https。

这里我就用之前heapdump中获取的内网ip信息,配合burp,进行内网探测。

这样只对单ip的部分端口进行了探测,发现8762和8761端口是有web的,通过ssrf访问后发现为内网Eureka服务。

通过这些注册信息,我们对内网的各个服务的位置,接口信息等就有了很好的了解。

漏洞三: 百万级别商业数据泄露和人员信息泄露

这个站现在已经打不开了,当时的情况是,访问网站后,会有一个窗口一闪,然后返回404。
这种情况我相信大家也经常会见到,然后我的做法是,直接访问网站源码,让他一闪而过的页面源码显示出来。


然后就发现了一个接口,在html源码中,拼接后发现为后台的信息获取接口。

经过拼接发现全部为未授权接口。

600多万的合同数据,全部可以下载且查看合同详情。

1万多某塔员工详细信息,还可以添加管理员用户等,通过这些信息可以对OA等其他业务系统进行撞库爆破钓鱼等攻击等等。
还有一些各个系统间的数据监控调试接口,可以对业务数据进行调试等就不贴图了。

漏洞四:未授权上传

通过抓包发现,基本上请求信息都和这个api有关。


所以对api目录进行FUZZ。

/api/upload目录访问后显示405,所以只需要修改请求方式即可,自己创个上传包即可。
不过通过测试发现上传动态脚本完全不解析,所以,只能上传个html,搞个存储型xss收工了。

小结

空白页面,403,响应码200的404这种页面,一定多FUZZ尝试一下,很容易出货,此外多看接口信息,虽然可以使用自动化的接口提取工具例如Packer-Fuzzer这些,但是还是自己多看看接口路径,自己拼接尝试一下。


文章来源: http://mp.weixin.qq.com/s?__biz=MzU1NzgyMzA0OA==&mid=2247490201&idx=1&sn=bd4d47d327517002e8b665ebecea45bf&chksm=fc2ebfbecb5936a80269476433d635a472e7a2b4efeb9e1601ea2693eaf858f5572249e8c5eb&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh