某公司站点的挖掘实战分享
站点名称:mxxxxxng.com
访问下一个系统 https://mxxxxxng.com/
直接请求跳转至登录页
登录测试
输入admin/admin弹出验证
验证成功后返回用户名或密码不正确
登录接口为/api/login 提交参数内容如图
直接在burp中重放下数据包,看看验证码是否可复用
重放数据包返回仍然是验证码可用,那就来暴力破解一波
结果发现使用123456可成功登录,本来想着过于顺利了,结果刚登录就提示无菜单权限,然后就又跳回了登录页面
分析登录过程
此时我们来看下数据包
通过数据包名称可看出此过程比较重要的接口
/api/login #登录数据包,返回token信息/api/getLoginUser #获取登录账户身份及权限/api/logout?0=eyJhxxxx #注销token,使权限失效
结合系统登录后的提示"无菜单权限",应该就是跟/api/getLoginUser接口返回数据有关了
来看下数据包内容
allPermissions中有很多值,说明权限应该还是有的,菜单的问题应该主要出现在menus对应的值为空,此时我猜想菜单的内容应该是在前端写好的,根据接口返回的menus具体值来展示不同的界面,那么就考虑在加载的js中查找menus,然后更改返回数据包来人工补充menus内容
打开浏览器的调试工具,搜索menus
从这部分内容中也可以证实之前的猜想是正确的,确实是根据menus的内容来判断
我们直接替换一下返回的menus,里面随便写入一个值,使其不进入这个逻辑判断中
配置完毕后重新登录,结果卡在了登录页面,同样没有跳转
查找接口
我们当前是可以拿到一个有效token的,所以即使访问不到管理员界面应该也是可以调用很多接口的,接下来我们从加载的js中筛选一下接口地址,burp中设置一下filter,仅展示js文件
设置后结果如下
由于我在burp中已安装插件HAE,点击具体的数据包,如果存在路径信息,HAE插件会帮我们提取出来 。
当前可以拿到token,所以不需要像测试未授权一样把所有接口枚举跑一遍看看哪些可以访问直接挑选看起来包含敏感信息的接口访问即可。
接口测试
比如这里面看到/sysUser/page接口,看起来是与系统用户相关的,我们请求看一下
需要注意的是从历史的接口请求中可以发现接口在域名的7788端口,且前面都有/api/
所以这里的/sysUser/page只是相对路径,真实地址应该是https://mxxxxxng.com:7788/api/sysUser/page ,在实际测试的时候要注意这个问题
直接请求接口报401错误,很正常,因为我们没有带token访问,也说明此接口不存在未授权访问的问题回到之前登录时抓到的数据包,看看站点的认证数据是写在哪个header中
这里面有两个header看名字都比较像负责认证的,分别是
X-AuthorizationAuthorization
接口实际认证一般只会根据一个header,所以我们可以挨个添加测试,好像一些网站cookie中存在很多值,但是真正与认证相关的一般只有session相关的值
由于登录后没有菜单权限,系统触发logout,之前包中的值已经失效了,我们可以单独发起一个登录请求,获取一个token
复制data中的值,添加到Authorization头中请求接口再测试一下
返回了系统中的账户,有54个,虽然没有密码但是拿这些账户枚举一波弱口令,应该是能找到一些能登录进系统的,这样就不用单独构造内容请求接口了
需要提取下全部的用户名作为字典,但是接口默认只返回了20个,通过返回内容猜测有pageSize参数控制返回大小
于是添加了一个pageSize参数,因为系统就54个账户,所以直接让pageSize=60就可以返回全部了
这里如果系统账户很多,超过1000个,就可以尝试结合pageNo来分页提取,否则一次取的账户数太多,对数据库的性能损耗也会变大,要根据实际情况修改参数值
把返回结果用正则提取下用户名信息,用到了在线正则 http://www.regex100.com/
通过正则表达式 "account":"[^"]+ 筛选出全部54个账户,结果粘贴到notepad++中
替换 "account":" 为空即可得到我们需要的用户名字典
放到burp中暴力破解,先只跑123456,看看能否跑出账户
绝大部分账户都使用123456作为登录密码,我们随便找一个登录看看
我们来看下/api/getLoginUser接口的menus部分是怎么写的
看这个内容应该是在后端控制了,站点中对于特定功能访问url为xxx.com/#/xxxx的格式,最后的xxxx对应的是menus中path部分内容
此时我想既然已经成功登录了后台,那么替换token为管理员账户的,再请求相应页面是否可以使用管理员账户访问界面
打开开发者工具,替换下pro__Access-Token对应的值为admin账户的
替换后请求https://mxxxng.com/#/welcome
结果又触发了logout,返回到了登录页面
看起来admin账户没办法从界面管理了,于是继续看看当前账户的功能
个人设置处可以修改头像,有上传功能传了一个新头像,看下对应数据包
并没有返回上传路径,于是在个人信息处右键点击头像选择在新标签页中打开图片
blob协议是用来传输二进制数据的,这里的url对应的是图片的二进制数据,而非图片真实路径,故上传,暂时没有其他思路
发现接口路径规律
没有思路的时候就看一看历史的数据包,看到/api/getLoginUser 接口的时候,突然发现返回的权限列表,貌似与接口名称存在对应关系
比如之前从js文件读取到的路径信息也包括/sysUser/detail、/sysUser/page这种,对应权限列表中的 sysUser:detail、sysUser:page
于是想到从这里看看有没有比较重要且不需要额外构造参数的接口,优先选择page、list这种
随便先找个/api/sysOrg/page请求一下,确实返回了内容,说明存在此接口,也验证了我的猜想
那么剩下就是多找些接口读取信息
读取/api/sysExLog/page接口时,返回了一些登录错误的日志信息,可以看出有6927条记录,通过
pageSize与pageNo参数可以查看到所有日志内容
发现真实管理员账户
我们让每页显示100条记录,且直接跳到最后一页看看都有什么内容
看到还会记录一些操作错误的日志,并且发现存在一个superAdmin的账户,这个在此
前/api/sysUser/page接口是没有读到的
admin账户无法登录很可能是因为真正的管理员使用的是superAdmin这个账户登录,否则怎么可能管理员都没有菜单权限
于是对superAdmin进行了一波暴力破解
可惜并没有跑到密码,我们再继续看看其他接口
读到/api/sysOpLog/page的时候,惊喜的发现会记录详细的请求参数,正是我刚才暴力破解的密码数据,那么我们多翻一翻log,应该就可以读取到真正的密码了
28167条数据,最近的都是我们暴力破解的,所以我准备结合pageSize与pageNo参数从后面往前读
burp中搜索password可以帮助更好的定位登录数据,有点遗憾的是log应该是只保留了60天左右,所以是不全的
这里先读到了一个之前暴力破解没跑出来的账户pxxx,利用读到的密码登录试下
发现这个账户权限比较大,并且还有系统管理的功能
系统管理只有机构管理功能,没有管理用户的功能,我们继续读log看看还有没有管理账户的
获取管理员账户密码
经历一番对log的翻阅,终于找到了superAdmin的密码 最终成功使用superAdmin登录管理后台
superAdmin账户是不在用户管理列表中的,最早从接口也没有读到这个账户,推测可能是硬编码写在 程序代码里了
大概的登录逻辑有可能是这样
if username == 'superAdmin' {xxxxx} else {select xxxx from users xxxxx}
这里其实还有一种测试思路就是看看能不能从js文件里获取更多的path地址,然后尝试在有一定权限的情况下越权访问
从js文件获取接口思路
首先看下加载的js文件注意下,一般带有chunk-xxxxx的这种js文件,可能会有更多js文件没被加载,但是文件名会写到一个js文件中
以chunk-75e74b52.2bac6cbf.js举例,我们把75e74b52作为关键词在开发者工具中搜索一下
"chunk-75e74b52": "2bac6cbf",user: "40be2e4b",fail: "8b5256dc"
因为我们已知有个chunk-75e74b52.2bac6cbf.js文件,正好是 "chunk-75e74b52": "2bac6cbf", 拼
接。
所以就可以构造出其他js文件名user.40be2e4b.js与fail.8b5256dc.js 不过这里这两个js文件也已经加载过了,仅提供下这种思路,测试其他站点遇到类似情况可以参考,之前遇到过不少有几十个chunk
xxx.js文件,可以提取不少信息