对某塔的一次随缘

ivi

M9 白昼信安 2023-12-09 14:30 发表于甘肃

目录
引言
某塔资产收集
漏洞一：白名单绕过信息泄露
漏洞二: SSRF漏洞
漏洞三: 百万级别商业数据泄露和人员信息泄露漏洞
四：未授权上传
小结

引言
好久不见，忙忙碌碌一年又快结束了，最近年末，手里的活也少了，准备后面挖挖洞搞搞其他的事情，更新更新小文章，这篇文章也算是水一篇吧，刚好最近在看某塔的资产，挖到几个小洞，刚好凑一篇文章。

某塔资产收集
开始想着搞几个事件的高危，混个运营商的CNVD，然后就开始了信息收集。
本着调软柿子的遵旨，先收集一波子域名，因为像运营商，大型的门户类网站都是被测试了很多次了，所以没必要太浪费事件，我们着重找边缘资产搞就可以。
我是找到某塔备案的主域名后开始用subdomain_shell这个脚本进行收集，一键调用subfinder+ksubdomain+httpx，子域名收集+网站验证，舒舒服服。

1. 项目地址：https://github.com/Mr-xn/subdomain_shell

复制代码

然后用子域名去定ip，定网段，开始找软柿子。

漏洞一：白名单绕过信息泄露
第一个漏洞网站长这样：



对于这样响应200，但是没有啥东西的网站，个人感觉最容易出货，所以要去多尝试FUZZ目录接口等。
指纹识别后发现为spring，拼接常规的敏感目录。



发现访问heapdump的时候显示403，说明存在，但是没有权限，但是我们加入一个.json后缀后就可以下载下来。

1. http://xxx.xxx.xxx.xxx/heapdump.json

复制代码

盲猜可能json是白名单，通过利用白名单绕过了403限制。
然后分析heapdump信息，成功拿到了众多敏感信息，例如数据库账号密码，网站其他接口，内网信息等等。






这样接口等等数据，就可以为我们的后续数据做铺垫。

漏洞二: SSRF漏洞
这个还是老样子，由于框架是spring，所以继续对目录进行爆破，看看有没有其他的东西。
我自己大致把网上spring的敏感目录的路径做了一个整理，共453个，如果需要的师傅后台回复[spring字典]即可。


通过爆破发现存在hystrix。


历史漏洞有模板注入和ssrf，测试后发现只存在SSRF，原本以为可以用其他协议进行探测，但源码直接卡死，只能用http/https。


这里我就用之前heapdump中获取的内网ip信息，配合burp，进行内网探测。


这样只对单ip的部分端口进行了探测，发现8762和8761端口是有web的，通过ssrf访问后发现为内网Eureka服务。



通过这些注册信息，我们对内网的各个服务的位置，接口信息等就有了很好的了解。

漏洞三: 百万级别商业数据泄露和人员信息泄露
这个站现在已经打不开了，当时的情况是，访问网站后，会有一个窗口一闪，然后返回404。
这种情况我相信大家也经常会见到，然后我的做法是，直接访问网站源码，让他一闪而过的页面源码显示出来。





然后就发现了一个接口，在html源码中，拼接后发现为后台的信息获取接口。

经过拼接发现全部为未授权接口。




600多万的合同数据，全部可以下载且查看合同详情。




1万多某塔员工详细信息，还可以添加管理员用户等，通过这些信息可以对OA等其他业务系统进行撞库爆破钓鱼等攻击等等。
还有一些各个系统间的数据监控调试接口，可以对业务数据进行调试等就不贴图了。

漏洞四：未授权上传
通过抓包发现，基本上请求信息都和这个api有关。



所以对api目录进行FUZZ。


/api/upload目录访问后显示405，所以只需要修改请求方式即可，自己创个上传包即可。
不过通过测试发现上传动态脚本完全不解析，所以，只能上传个html，搞个存储型xss收工了。





小结
空白页面，403，响应码200的404这种页面，一定多FUZZ尝试一下，很容易出货，此外多看接口信息，虽然可以使用自动化的接口提取工具例如Packer-Fuzzer这些，但是还是自己多看看接口路径，自己拼接尝试一下。