于2021年12月11日举行的第十八期「听火」线上会议沙龙开展了近3小时,会中各抒己见,展开了一场酣畅淋漓的思想碰撞,各位参会白帽们都意犹未尽,没参加的小伙伴赶紧跟随我一起来看看会议复盘吧
会议概述
1、特别邀请嘉宾及议题:
子炎:首次优惠/积分的妙用
DeepMemory:如何通过JS分析挖掘未授权接口
京亟:S3文件读取、 任意用户注册访问敏感信息、接口越权的发现及利用
已向各位分享嘉宾发出了火线私人定制的丰厚礼物噢!biubiubiu❤
2、参会人员共51人,已对会上发言分享的师傅们也发放了相应的查克拉奖励!
议题分享
首次优惠/积分的妙用
子炎:这个漏洞就是通过修改选择自定义充值后抓包,修改数据包中的积分数和现金面额值,注意两者要成倍数关系。对于支付功能处的优惠券、积分等,存在一些巧妙的利用方式,例如:第一次购买会员时使用优惠券存在很大力度的减免,此时我们可以尝试去创建多个订单,然后依次支付,查看是否会员时间进行了累加......
如何通过JS分析挖掘未授权接口
DeepMemory:这是由于一个未授权接口导致可批量爆破系统账号密码的漏洞。由于没办法进行正常登录,所以当时测试时尝试了通过在前端JS代码中搜索关键字(admin.asp)进行分析,根据在body体中的发现拼接出了一个未授权接口,在接口中返回了历史人员过期的账号密码等信息,后通过解密组建了较为贴合的字典进行爆破,成功进入后台......
S3文件读取
京亟:现在很多系统上传文件基本上都会用到一些云存储例如:Oss服务、亚马逊的S3。S3云存储中的一种的机制是:上传文件或下载文件时,他会先根据你的Key去获取一个签名的url,然后你上传或者下载都是通过这个url去进行的。如果能拿到某个文件的签名的url是可以访问的或者上传的。本漏洞主要由于校验不够,导致可以用 ../ 进行回溯,回溯到根目录,然后可以读取到根目录相关文件。由于对该资产比较熟悉,为证明漏洞危害,便展示了读取相关合同的情况。
任意用户注册访问敏感信息
京亟:这个主要是通过火线协同挖洞的延展,这个网站是swagger的,可能是因为下架的原因,没有前端,所以我去测试了一下接口,首先测试了一下注册接口,注册成功后进行登录,响应包中返回了JSESSIONID,然后利用该JSESSIONID放到其他接口数据包中尝试访问,导致信息泄露。
......
精彩讨论
✨抽奖相关思路:
杰仔:这是我碰到的一个抽奖,每天登陆后限抽三次,当改包后抽奖次数便会变为负数,且接下来的几天都不可以抽奖,师傅们有什么思路吗?
清:改包,奖品的id
Hot_pot:你可以试一下通过app web 小程序 pc端打开 看看会不会有没有扣的
wkeyi0x1:你有抽住过吗 看看他每个包的参数一样不
✨通过JS分析发现api接口相关思路:
杰仔:对于JS搜索,我习惯性会搜索一下关键字,例如:URL、route
DeepMemory:可通过搜索接口可能会调用的相关参数,然后通过去查看该参数的调用位置,追溯api接口后进行拼接访问。
Yuhzha:俺也是 get post :// /啥的
✨云存储相关漏洞:
京亟:除了我在ppt中分享的任意文件读取漏洞,云存储环境还可能存在任意文件覆盖的漏洞,这里向大家安利一篇文章,总结的比较到位。https://mp.weixin.qq.com/s/eZ8OAO5ELgUNvVricIStGA
Hot pot:对于S3的下一页参数,腾讯和华为云都是marker。
Yuhzha:换请求方法 PUT、DELETE(不敢)啥的
✨swagger测试小技巧
京亟:很多测试环节用swagger,但是为了开发测试环境的需求,所以一些鉴权可能会写一段这样的逻辑代码:即如果你是从swagger的接口过来的请求,便会放行。虽然生产环境它可能被所谓的下架了,实际上这段代码还在,所以大家可以在refer后面加上这个swagger路径,可能会被放行。
✨api接口拼接技巧:
京亟:通过网站的其他完整的数据包中发现api前缀的命名规则,然后再去构建测试接口。
樱宁:火线Zone中有一篇关于接口构建的小技巧:https://zone.huoxian.cn/d/174-tipssrc
......
漏洞经历分享
福利派送
🎁BIE:burpsuite数据提取插件
https://github.com/theLSA/burp-info-extractor/releases/tag/v1.1.1
🎁JS发现的小插件FindSomething,可在谷歌应用商城中获得
🎁Hot pot师傅会在火线Zone分享的云存储参数字典
🎁京亟师傅关于swagger请求头的字典分享(欢迎各位师傅们在评论区补充)
/swagger-resources/..;/active/record/userList?page=1&limit=100&activeId=6
/swagger/..;/active/record/userList?page=1&limit=100&activeId=6
/webjars/..;/active/record/userList?page=1&limit=100&activeId=6
/swagger-resources/..;/xxxx
/swagger/..;/xxxxx
/webjars/..;/xxxx
/sw/swagger-ui.html
/swagger
/swagger-dubbo/api-docs
/swagger-resources
/swagger-resources/configuration/security
/swagger-resources/configuration/ui
/swagger-ui
/swagger-ui.html
/swagger-ui/html
/swagger-ui/index.html
/swagger.json
/swagger.yaml
/swagger/api-docs
/swagger/codes
/swagger/index.html
/swagger/static/index.html
/swagger/swagger-ui.html
/swagger/ui
/swagger/v1/api-docs
/swagger/v1/swagger.json
/swagger/v1/swagger.yaml
/swagger/v2/api-docs
/swagger/v2/swagger.yaml
/user/swagger-ui.html
/v1.1/swagger-ui.html
/v1.2/swagger-ui.html
/v1.3/swagger-ui.html
/v1.4/swagger-ui.html
/v1.5/swagger-ui.html
/v1.6/swagger-ui.html
/v1.7/swagger-ui.html
/v1.8/swagger-ui.html
/v1.9/swagger-ui.html
/v1/api-docs
/v1/docs
/v1/docs/
/v2.0/swagger-ui.html
/v2.1/swagger-ui.html
/v2.2/swagger-ui.html
/v2.3/swagger-ui.html
/v2/api-docs
/v2/docs
/v2/docs/
/v2/keys/?recursive=true
/v2/swagger.json
......
号外!号外!预计下一期「听火」沙龙会将会尝试对外直播噢~
(各位参会的师傅们,欢迎在评论区补充噢,留下你们足迹哈)
