安全矩阵

 找回密码
 立即注册
搜索
查看: 954|回复: 0

对某塔的一次随缘

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-12-10 11:21:48 | 显示全部楼层 |阅读模式
M9 白昼信安 2023-12-09 14:30 发表于甘肃

目录
引言
某塔资产收集
漏洞一:白名单绕过信息泄露
漏洞二: SSRF漏洞
漏洞三: 百万级别商业数据泄露和人员信息泄露漏洞
四:未授权上传
小结

引言
好久不见,忙忙碌碌一年又快结束了,最近年末,手里的活也少了,准备后面挖挖洞搞搞其他的事情,更新更新小文章,这篇文章也算是水一篇吧,刚好最近在看某塔的资产,挖到几个小洞,刚好凑一篇文章。

某塔资产收集
开始想着搞几个事件的高危,混个运营商的CNVD,然后就开始了信息收集。
本着调软柿子的遵旨,先收集一波子域名,因为像运营商,大型的门户类网站都是被测试了很多次了,所以没必要太浪费事件,我们着重找边缘资产搞就可以。
我是找到某塔备案的主域名后开始用subdomain_shell这个脚本进行收集,一键调用subfinder+ksubdomain+httpx,子域名收集+网站验证,舒舒服服。

  1. 项目地址:https://github.com/Mr-xn/subdomain_shell
复制代码


然后用子域名去定ip,定网段,开始找软柿子。

漏洞一:白名单绕过信息泄露
第一个漏洞网站长这样:



对于这样响应200,但是没有啥东西的网站,个人感觉最容易出货,所以要去多尝试FUZZ目录接口等。
指纹识别后发现为spring,拼接常规的敏感目录。



发现访问heapdump的时候显示403,说明存在,但是没有权限,但是我们加入一个.json后缀后就可以下载下来。
  1. http://xxx.xxx.xxx.xxx/heapdump.json
复制代码





盲猜可能json是白名单,通过利用白名单绕过了403限制。
然后分析heapdump信息,成功拿到了众多敏感信息,例如数据库账号密码,网站其他接口,内网信息等等。






这样接口等等数据,就可以为我们的后续数据做铺垫。

漏洞二: SSRF漏洞
这个还是老样子,由于框架是spring,所以继续对目录进行爆破,看看有没有其他的东西。
我自己大致把网上spring的敏感目录的路径做了一个整理,共453个,如果需要的师傅后台回复[spring字典]即可。


通过爆破发现存在hystrix。


历史漏洞有模板注入和ssrf,测试后发现只存在SSRF,原本以为可以用其他协议进行探测,但源码直接卡死,只能用http/https。


这里我就用之前heapdump中获取的内网ip信息,配合burp,进行内网探测。


这样只对单ip的部分端口进行了探测,发现8762和8761端口是有web的,通过ssrf访问后发现为内网Eureka服务。



通过这些注册信息,我们对内网的各个服务的位置,接口信息等就有了很好的了解。

漏洞三: 百万级别商业数据泄露和人员信息泄露
这个站现在已经打不开了,当时的情况是,访问网站后,会有一个窗口一闪,然后返回404。
这种情况我相信大家也经常会见到,然后我的做法是,直接访问网站源码,让他一闪而过的页面源码显示出来。





然后就发现了一个接口,在html源码中,拼接后发现为后台的信息获取接口。

经过拼接发现全部为未授权接口。




600多万的合同数据,全部可以下载且查看合同详情。




1万多某塔员工详细信息,还可以添加管理员用户等,通过这些信息可以对OA等其他业务系统进行撞库爆破钓鱼等攻击等等。
还有一些各个系统间的数据监控调试接口,可以对业务数据进行调试等就不贴图了。

漏洞四:未授权上传
通过抓包发现,基本上请求信息都和这个api有关。



所以对api目录进行FUZZ。


/api/upload目录访问后显示405,所以只需要修改请求方式即可,自己创个上传包即可。
不过通过测试发现上传动态脚本完全不解析,所以,只能上传个html,搞个存储型xss收工了。





小结
空白页面,403,响应码200的404这种页面,一定多FUZZ尝试一下,很容易出货,此外多看接口信息,虽然可以使用自动化的接口提取工具例如Packer-Fuzzer这些,但是还是自己多看看接口路径,自己拼接尝试一下。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-10-7 13:24 , Processed in 0.015172 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表