于7月24日晚七点,火线平台在腾讯会议上举办了第八期「听火」线上内部项目分享沙龙——3名分享讲师,参与会议人员共计26人,分享议题共5个,讨论议题共4个。
参会人员
漏洞分享片段
✨S3配置不当导致大量用户和商户信息泄露(分享者:mkdd)
S3是一个存储器,默认来说访问应该是403页面,即不可能遍历文件。由于有一些S3是用来存储敏感文件的,故必须要找到相应的文件名(通常比较长)才可查看,且无法通过爆破进行获取。而当存在该配置错误漏洞时,直接访问其根域名,便可直接将文件展示出来,如左上角图所示。
若想获取到更多信息,则可以从第一页NextMarker往后查看10000个,即URL为:
xxx.com/?marker=img/00babca06708ae464be25b4b8366bc78/license.jpg&max-keys=1000便可以查看众多营业执照、身份证信息......
✨DNS配置错误导致100多个内网域名暴露给公网(分享者:mkdd)
通过看火线Zone上的303老哥的文章学习到的姿势。首先是通过各种渠道去收集他们的子域名,比如可以通过火器等工具。第二步是寻找子域名对应的ip,最后便是访问每一个公网ip,然后批量的替换成host,关注标题、长度、状态码等,若出现异常,则代表可能碰撞成功。要注意碰撞时用的host确定在公网上可以ping通......
✨X.X.com Spring Boot Actuator 未授权(分享者:Rus)
针对Spring Boot的未授权漏洞大家都知道,主要分享一下相关的利用,比如:当遇到Trace端点时,我会尝试去看对应的POST。当我们遇到的版本越来越高时,遇到env这些接口时,去进行RCE是比较困难的,因为可能反序列化的已经被修复了。面对这样的情况,我一般会尝试修改jdbc的URL......
✨泄漏七牛key 导致可查看修改大量敏感信息(分享者:Rus)
小程序硬编码了一个七牛云的key以及七牛云的密钥,当我们得到key的时候,就相当于S3,但是它会进行URL的绑定,绑定的便是APP的下载地址,则我们可以直接改APP的包,然后进行投毒,由于上面还部署站点,我们也可以对一些JS进行投毒,更重要的是上面存储了一些敏感信息。
漏洞的发现方法:可能用的比较多一点的是小蓝本之类的工具,通过主动扫描和被动扫描的方式,把所有厂商相关的微信小程序搜出来,之后可以通过自己编写的脚本进行批量的去获取到它的包,批量解包,然后利用正则去匹配,将里面的一些接口全部把它匹配出来。这样做的优点是:如果是硬编码的话,很多时候,就可以直接执行控制它的服务器等操作......
✨vip兑换码爆破及思路拓展(分享者:Ithrael)
对于VIP兑换码以及优惠券等模块,我总结一下我的测试思路。兑换码处是一个输入框,它本质上是可能存在xss或者SQL注入漏洞的。而对于业务层,我在主要从两个方面进行测试:一个是并发,一个是爆破。并发的话首先我们需要有一个正确的兑换码,然后拿着这个正确的去拦截并重放。爆破则是模拟请求,可以自己写脚本去生成一些符合要求的兑换码,然后去爆破......
话题讨论缩影
问:火器这个工具如何配合平时的渗透测试,或者说我们平时渗透是怎么去利用火器?
答1:首先你要了解火器有几块数据源:一块是DNS的,一块是url的,一块service的。举个例子:你想挖oss劫持的。你便可以通过漏洞所具有的特征去搜,可以类比FOFA的语法。你要先理解火器的数据源,然后根据你所掌握的知识量、特征码,去搜这个字段是否存在......
回答2:之前我们在后台也是看见很多师傅在火器里面捡到非常多的高危漏洞,前段时间有个师傅在response的header找到了一个oss key,进去之后直接是严重的......
......
问:虽然我在不断的搜集某公司的上新项目,但是最近挖洞还是进入了一个瓶颈期,希望师傅们提供一下思路。
答1:师傅如果平时测试是以买家身份去测的话,建议师傅转换一下角色,尝试以卖家身份,再审核一下搜集到的新资产......
答2:可以尝试去挖相关联的比较偏远公司上的相关资产,还可以去做一些不挂域名ip的这种资产的收集,比如说从fofa中去寻找一些关键字,可以找厂商比较隐蔽的一些资产。还有就是对收集的子域名去爆破api等......
......
工具加油站
fuzz目录
/service/actuator/health
/service/actuator/
/service/actuator/././////12/../health
/service/actuator/
/service/actuator/1/.././3/..////////././health#1indo
service/actuator/././11/..///%69%6efo#infsowewv
检测工具
https://www.virustotal.com/gui/url/e4521212ca78e142eeebe66084f4c8aae5de500822cfd75460bf33fe888d4b39/details
爆破工具
Turbo Intruder
自动化检测工具
peertupeer
selenium/ phantomjs/peetupeer
adb/
appium
antojs
js爬接口
burpjslinkfinder
心动不如行动!
第九期「听火」线上内部项目分享沙龙又快开始了!
赶紧找我们报名吧!
先到先得噢~
