声明:此次测试已经过授权,该漏洞已修复
某网站存在接口泄露,可导致任意用户密码重置、任意用户密码修改、用户信息泄露等多个问题,思路复盘
1.信息搜集和思路
由于我是得到授权直接测试某学校的一个学院网站,相当于直接跳过的找子域名这些步骤,于是直接对站点进行信息搜集
信息收集一波,发现其实学校使用了站群服务,但唯独这个学院的网站不在站群里,于是可以先尝试找后台管理页面,试下直接输/admin目录,发现存在登陆页面 xxx/admin/#/login?redirect=%2Fdashboard
页面长这样:
第一反应:肯定是买的服务,去找找其他学校有没有发现这个系统的漏洞
结果啥都没找到
回到这个页面,用wappalyzer,发现目标网站使用了webpack打包
那就用webpackfuzz扫一下吧,万一扫出个啥嘞,扫的时候我还能再找找相似的目标
结果不扫不要紧,一扫一堆接口,于是就有接下来的事了
暴露的接口包括但不限于重置密码、获取个人信息、删除用户、修改密码等
重要接口暴露导致网站被拿下
1 用户信息泄露
接口:xxx/api/user/view/
GET请求,一开始我猜直接加admin,结果返回错误,返回信息是Failed to convert value of type 'java.lang.String' to required type 'java.lang.Long'; nested exception is java.lang.NumberFormatException: For input string: "admin"(此处缺图,但因为当时的笔记已经删了,写博客的时候已经修复没法复现)
后来我去搜了一下,发现是java报的数据类型错误,这里应该传longint
那么我大胆猜测,admin对应的id应该是1,于是访问xxx/api/user/view/1,成功啦
2 任意用户初始化密码
这边一开始直接访问接口xxx/api/user/initPassword/1
发现报错,原因是不支持的请求方式,那就直接F12找这个接口,发现接口方法也直接写出来了,接受POST方法和一个参数ids
于是yakit改数据包发送至接口
返回成功,尝试几个弱密码,最终经典的123456就进到后台了
3 任意用户密码修改
接口地址 xxx/api/user/changepwd/
一样的,找F12,里面直接写了参数,按格式发包就成功了
就这样,这个站算是沦陷了
后续
那既然都这样了,试试能不能传个马拿下服务器,万一拿下来就可以愉快的打内网了
在征得授权后,尝试文件上传
万万没想到,后台文件上传校验的很严,没办法绕过(也可能是我菜),最终只能可惜的交报告跑路了
至此,我的第一个高危到手。巨激动,写报告的时候手都在抖哈哈哈,运气也是好,这都让我碰到了