百鹊筑桥,星梦传书,七夕刚过,火线平台于8月15日晚七点到九点,举办了第十期「听火」线上内部会议,反响热烈。会议邀请了三位分享嘉宾:mkdd、威猛先生、wkeyi0x1,参与白帽29人,其中共三名幸运观众。
🎁合影留念
微信讨论群:
腾讯会议缩影:
镜头后面各个都是吴彦祖,所以大家都很低调 •̀ ω •́ ✧
🎁漏洞分享截选
漏洞名称:接口导致大量敏感信息泄露
分享嘉宾:mkdd
mkdd:漏洞分为两个阶段,分别为:发现缺陷阶段和漏洞利用之批量生产阶段。发现缺陷阶段存在有两个漏洞接口,接口1:ums.dev.huoxian.com/api1?page_num=1&page_size=100&user_ids=1252551758136262675
可以通过user_ids 参数查看少量的user_id:
{
"user_id":"9527",
"user_id":"9528"
}
接口2:ums.dev.huoxian.com/api2?user_id=9527&system_code=1000011&page_size=100&page_num=
可以通过user_id 参数查看单个用户的姓名、邮箱、身份证、住址、手机号
{
"name":"test",
"email":"test@test.com",
"id_card":"11111111111111",
"address":"火线总部保安室",
"phone":"13333333333"
}
但是两个漏洞却只能泄露少量测试数据,便思索如何进行漏洞升级.......
1> 接口1返回少量user_id→返回所有user_id将user_ids改为不存在的+改大page_size → 成功获取所有user_id → 可以获取所有测试数据(危害还是不大)ums.dev.huoxian.com/api1?page_num=1&page_size=100&user_ids=1252551758136262675
{
"user_id":"9527",
"user_id":"9528",
...
"user_id":"999998",
"user_id":"999999",
}
2> 测试数据到生产数据
ums.dev.huoxian.com/api1 → ums.huoxian.cn/ap1 成功得到生产数据(所有的生产环境的user_id)
{
"user_id":"9527",
"user_id":"9528",
...
"user_id":"999998",
"user_id":"999999",
}但是ums.dev.huoxian.com/api2 → ums.huoxian.cn/ap2 得到的响应是空。
3> 再细心一点,ums.huoxian.com/api2?user_id=&system_code=1000011&page_size=100&page_num= ---->
ums.huoxian.com/api2?user_id=&system_code=1000001&page_size=100&page_num= ---> 成功返回生产敏感信息
{
"name":"刘日天",
"email":"liuritian@huoxian.com",
"id_card":"123456789012345678",
"address":"火线总部攻防实验室",
"phone":"15555555555"
}
漏洞名称:下载功能导致的任意文件读取漏洞以及挖掘思路总结
分享嘉宾:威猛先生
威猛先生:在用户模块数据部分存在一个下载的功能点,点击下载之后抓包,发现filename参数可控,并且发现请求头处的host字段不是cnd之类的服务器。在burpsuite回放中猜测回显内容应该是xlsx文档的内容,所以尝试读取,经过一些尝试之后,发现修改fileName参数为../../../../../../../etc/passwd时成功读取。
平常在挖掘时,会关注一些资产的app和小程序,这些资产相对于web,挖掘的人比较少一些......
漏洞名称:任意卸载漏洞
分享嘉宾:wkeyi0x1
wkeyi0x1:这是一个逃逸漏洞,输入法的换肤作为逃逸的入口点,从输入法的设置进入到系统的设置,继而从系统设置中找到一些危险的操作,例如:恢复出厂设置、任意卸载等等。在图中(系统设置)的“应用”中,找到了主控端。在挖掘时,发现该APK在登录QQ以后,点击更新,QQ不仅可以安装,还可以从QQ打开,我便将底层包名改成QQ的包名,后利用共存,便直接安装上了......
漏洞名称:记某次众测思路总结
分享嘉宾:wkeyi0x1
wkeyi0x1:如图修改头像处,选择图片时会弹出资源管理器,但该资源管理器只能用来选择一些图片。众可周知当我们在资源管理器的地址栏输入cmd+回车便可以弹出黑窗口,但是此处被限制了,且尝试访问其他文件夹,均以失败告终。最终以步骤二中右上角的“视图”作为了突破口:如果在该路径下放置一张图片,利用视图的功能,在选中时便会显示图片(相当于预览的效果),由于资源管理器中不能用右键,但是在视图中便可以用右键。图三是利用ftp在资源管理器中访问服务器资源的界面。
综合上述情况,我通过在ftp下放置一个html的文件,下载,找到下载目录,用快捷方式创建了一下,打开该快捷方式,便可以打开浏览器(图中的步骤四)。由于浏览器没有被限制,便可以利用协议去访问服务器上的资源,突破了资源管理器的限制。但是由于浏览器不能下载东西,可以另存为图片,要怎么利用才可以上线呢?
......
🎁议题讨论
问:信息搜集的方式,如何获取敏感信息?
答:对于这个问题,特别是存在APP,尽量去拆APP。对与APP你可以去做一个小脚本将其拆开,拆开之后利用脚本去找,其中凡是带命名的或者是包含替换符的全部扫出来,然后将其拼接,完成之后便是它完整的请求过程。后阶段便是挨个去测试,这是一种方法。
......
