文章总结: 本文分享了三个SRC实战挖掘案例:案例一通过获取OSS临时凭证实现文件覆盖漏洞,可篡改存储桶内图片等文件;案例二发现认证逻辑缺陷导致邮箱轰炸和越权操作,可修改他人绑定信息;案例三通过路由测试发现未授权接口泄露敏感数据。文档提供了具体漏洞利用步骤和脚本代码,强调测试时需避免影响原文件并遵守法律边界。 综合评分: 85 文章分类: 渗透测试,WEB安全,漏洞分析,实战经验,安全建设
。security_token = 'CAISuQJ1q6Ft5B2yfSjIr5bdI+7j3qhigbOzdxP2jk0CaL58ioedkjz2IH9KfHFvCesYt/4/lWBX7/cclqZrTIVZTEj5dc9355hw6hj59mNJDVzsv9I+k5SANTW5KXyShb3/AYjQSNfaZY3eCTTtnTNyxr3XbCirW0ffX7SClZ9gaKZ8PGD6F00kYu1bPQx/ssQXGGLMPPK2SH7Qj3HXEVBjt3gX6wo9y8TlmpDAs0CO1WeXkLFF+97DRbG/dNRpMZtFVNO44fd7bKKp0lQLtEYSrPgm1/Ido2eW7o7EUgdLgBKIPefO8dxzKxRidiGMls+uxdmLdp0Q0oS7/+yfQIae8WzTNA+Wggz0dQd4vCcN4sp4FNC1cj2GibvsVfrWiGgHOilAL2BREJFMRDIOT3JlJF7UQtWfKgCXCm/LGoABK3q4tNbUxXLRsIu57OCe//QqvTsvdGHf0fs0Yl4mbaKMDgY7j5nGQWQHfpmqxZeQEwcAviEdsIQ7eWz75WQ7n+VEren/48Fal1uu7y3fBEqTkOSq62L+UjSYoZnL7tHAPad5ceB/gOUdy/OozYI5a3QEvzIFMSoAZWxNzM/9YJAgAA=='# 使用临时访问凭证中的认证信息初始化StsAuth实例。auth = oss2.StsAuth(sts_access_key_id, sts_access_key_secret, security_token)# 使用StsAuth实例初始化存储空间。bucket = oss2.Bucket(auth, endpoint, bucket_name)# 上传Object。# with open()
填写对应的参数
-
sts_access_key_id
-
sts_access_key_secret
-
security_token
-
bucket_name
-
object_name
前三个是数据包中就能获取的临时凭证
bucket_name:是文件上传到的桶的名字,可以上传一个照片后,在返回包中,会返回这个图片存储的位置,复制去浏览器中打开。
正常访问是直接访问到这个图片,那么我们需要在复制的 url 随便修改什么地方,让他报错:
Hostid 中就会返回,当前存储的是哪一个存储桶。
接下来就开始利用
从给出的代码中可以看到,文件保存的路径是 用户自主可控的,既然可控的,是不是可以再次上传覆盖原本文件内容呢,首先尝试上传一张图片。
⚠️ 注意点:accessKeySecret、stsToken、accessKeyId 这三个参数好像有使用时间限制,有时候可能会过期,就需要重新发包来获取。
访问可以看到是上传成功了
然后路径不变,上传另一张图片。
⚠️ 注意:重新上传完一个图片时,可能时因为浏览器缓存的问题,如果使用同一个浏览器打开,可能还是原来的图片,这里需要换一个浏览器去打开。
可以看到图片被覆盖了。(这里我测试了,其他类型的文件格式都可以覆盖。)
接下来就是证明危害了,找当前网站中,有哪些图片是存在了这个桶里的。
当前网站下就找到这一张图片。但是后面测试其他网站的时候,又发现了好多类似的网站,有很多照片、PDF、Word等文件都存在这个桶里,那么如果是被利用,就都可以被覆盖了这些文件。
⚠️ 注意:测试的时候自己上传一个文件测试,不要动原来的文件。
可惜的是没有发现有 js 文件存在这个桶里。如果覆盖js文件就可以在该网站上执行任意的 js 代码,那么危害就更大了。
脚本参考链接:
https://help.aliyun.com/zh/oss/developer-reference/use-temporary-access-credentials-provided-by-sts-to-access-oss?spm=a2c4g.11186623.0.i6
案例二
同样也是登录框开局
这里没有账号,登录不了,点击注册时候,发现需要填一个推荐人邮箱
正要换一个网站的时候,发现登录页面,最下面有个使用手册,随手点开看了一下。
发现里面居然有一个推荐人邮箱,那么就可以注册帐号了
但是一登录,就要让我填写各种信息,认证身份。
这里就跟着填,不要嫌麻烦,填完可能有惊喜(可能其他人都觉得麻烦都没有填写)
这里发现有个“重新认证”的按钮,点了发现会发送一个邮件(这里邮箱是注册的时候填的,注册的时候需要邮箱验证)。这里就抓了个重新验证的包,发现可以无限重放,一直发邮件,并且有个“编辑”按钮,可以修改邮箱。
任意邮箱轰炸+1
接着认证完,但是还需要审核,那我怎么等得了。直接将路由删除了。
然后就跳到了主页
但是一点左边菜单栏中的“账号管理”,就会跳到呢个审核页面了
仔细看了数据包,发现点“账号管理”的时候,会有一个数据包
发现返回包中有个stepStatus 参数,测试之后发现,只要将其改成大于 5 的数字就能正常返回“账号管理”页面了(这里没有真的绕过,类似前端绕过吧)。
这个页面可以增加“联系人”
可以通过修改 id 对其他账号绑定的人进行增删改越权操作。(这里忘记截图了)
添加后,需要重新认证(点击会发送一个邮件)
访问链接,发现是通过手机验证码来重新认证的
那么这里就可以结合上面的增删改越权操作,将这个人邮箱和手机号都改成自己的,就可以完成重新认证了,也就可以将其他人添加到自己的账号里了。
案例三
还是一个登录框开局
这次没有注册点了,那就只能看 js 了,在 js 中找了一些路由接口,可以通过拼接路由,直接拼接是会重定向到登录页面的,这里我是用 burp 开着拦截,让页面卡在这里。(这里其实可以用AntiDebug 插件,直接清除路由守卫,更方便)
这里看见有下拉框,点了一下,发现返回了所有的信息。
抓取数据包,里面有个 accountBankCode 参数,直接遍历这个值,就能返回更多完整的信息了,比较敏感,就没截图了。
同样的测法,后面也是发现了好几个未授权的接口,就没有截图了,因为思路都是一样的。
通过路由测试,其实就是在测接口,和直接在 js 中找接口测是一样的结果,只是这种能看着功能点来测,比较方便,还有一个好处是,点击功能点,抓到的数据包中参数是会自动添加的,省去了自己猜参数了。
外部交流群
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:凌曦安全 凌曦安全 凌曦安全《SRC实战挖掘案例分享》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论