记录一次通过不断FUZZ从而获取万元赏金
2023-9-21 23:11:19 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

0x01 前言

      下午,一个老朋友发来一批资产让我找个有效漏洞,原因是厂商弄活动,提交有效漏洞可获取其奖品,那个奖品对朋友很有吸引力。

0x02 漏洞背景

      一个后台系统,称其为https://manager.target.com。

0x03 漏洞挖掘过程

      目标站点如下图所示,可以看到不仅要用户名密码,还需要正确的手机号,以及验证码才可登录。

      对目标站点进行目录探测,未发现有用接口。进一步对其目录探测,使用wfuzz对https://manager.target.com/进行探测,

wfuzz -w dict/test.txt https://manager.target.com/h5FUZZ也无果。至于为什么这样设置目录探测,因为在日常渗透中,我发现大多数h5站点登录都无需验证码,可能是方便手机端用户登录吧。

wfuzz -w dict/test.txt https://manager.target.com/h5-FUZZ,发现https://manager.target.com/h5-mobile返回302状态码,

其跳转到https://manager.target.com/h5-mobile/,发现页面空白,通过burp发现其加载了js文件。

从app.js文件发现mobileapi/login接口。从chunk.js文件中找到其参数。

构造post报文进行登录,返回账户密码错误,使用burp对其进行暴力破解,成功爆破出一组账号,返回一个token值。eyJadGadad1UxMiJ9.eyJsb2dpbl91c2VyX2tlfasdcLTYwYzasdsgzLThkM2Y5NDdiN2FiNSJ9.Mnp7HxlGHdadseN9wmW5vKMe19ffYRGwMYl4WeJJBkAEdj-d6h2HGF0oadqqwasm-brXrvG5q2p5rQ。

将其token值拼接在头部,构造post报文,访问https://manager.target.com/mobileapi/get/orderall(app.js中提取出来的接口),发现还是返回状态码401,怀疑是token头部字段问题,使用字典对token进行暴力破解,burp暴力破解模块设置如下图所示,其token常用的字段为token,access-token,Authenticator等。

发现头部身份认证字段为access-token。其返回了大量用户订单。

0x04 厂商反馈

      漏洞交给了朋友提交,十分钟就得到了厂商反馈,本来以为算高危,厂商给了个严重,良心厂商。

如果你是一个长期主义者,欢迎加入我的知识星球(优先查看这个链接,里面可能还有优惠券),我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款

往期回顾

2022年度精选文章

SSRF研究笔记

xss研究笔记

dom-xss精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247492014&idx=1&sn=b8e80e3036e36db9b3249f400e24e250&chksm=e8a5ebcddfd262db757d54b9547f402bc248409ec9d7790c9aab46057c2fe653bbf17eac5567&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh