利用Apple eSign heapdump 破坏外部员工管理工具

在最初的侦察阶段收集子域并发现 苹果公司的互联网暴露面时，他们发现了一堆“esign”服务器：

• https://esign-app-prod.corp.apple.com/

• https://esign-corpapp-prod.corp.apple.com/

• https://esign-internal.apple.com

• https://esign-service-prod.corp.apple.com

• https://esign-signature-prod.corp.apple.com

• https://esign-viewer-prod.corp.apple.com/

• https://esign.apple.com/

加载子域后，会立即重定向到 /viewer 文件夹，当通过 Apple idmsa 身份验证流程时，将会返回“你未被授权”的错误：

由于无法从该页面访问任何链接或有趣的 js 文件，因此他们使用一些基本的爆破字典进行目录扫描，看看能否找到一些应用程序的站点，成功发现 /viewer/actuator ，其中包括映射和heapdump：

由于无法通过向Actuator发送请求来进行更改，从而实现远程代码执行，因此必须找到一种替代方法来证明漏洞影响。