通过不断FUZZ从而获取万元赏金

jiangmingzi

迪哥讲事 2024-03-02 23:31 江苏

0x01 前言

[color=rgba(0, 0, 0, 0.9)]      下午，一个老朋友发来一批资产让我找个有效漏洞，原因是厂商弄活动，提交有效漏洞可获取其奖品，那个奖品对朋友很有吸引力。

0x02 漏洞背景

[color=rgba(0, 0, 0, 0.9)]      一个后台系统，称其为https://manager.target.com。

0x03 漏洞挖掘过程

[color=rgba(0, 0, 0, 0.9)]      目标站点如下图所示，可以看到不仅要用户名密码，还需要正确的手机号，以及验证码才可登录。

[color=rgba(0, 0, 0, 0.9)]      对目标站点进行目录探测，未发现有用接口。进一步对其目录探测，使用wfuzz对https://manager.target.com/进行探测，

[color=rgba(0, 0, 0, 0.9)]wfuzz -w dict/test.txt https://manager.target.com/h5FUZZ也无果。至于为什么这样设置目录探测，因为在日常渗透中，我发现大多数h5站点登录都无需验证码，可能是方便手机端用户登录吧。

[color=rgba(0, 0, 0, 0.9)]wfuzz -w dict/test.txt https://manager.target.com/h5-FUZZ，发现https://manager.target.com/h5-mobile返回302状态码，

[color=rgba(0, 0, 0, 0.9)]其跳转到https://manager.target.com/h5-mobile/，发现页面空白，通过burp发现其加载了js文件。

[color=rgba(0, 0, 0, 0.9)]从app.js文件发现mobileapi/login接口。从chunk.js文件中找到其参数。

[color=rgba(0, 0, 0, 0.9)]

[color=rgba(0, 0, 0, 0.9)]构造post报文进行登录，返回账户密码错误，使用burp对其进行暴力破解，成功爆破出一组账号，返回一个token值。eyJadGadad1UxMiJ9.eyJsb2dpbl91c2VyX2tlfasdcLTYwYzasdsgzLThkM2Y5NDdiN2FiNSJ9.Mnp7HxlGHdadseN9wmW5vKMe19ffYRGwMYl4WeJJBkAEdj-d6h2HGF0oadqqwasm-brXrvG5q2p5rQ。

[color=rgba(0, 0, 0, 0.9)]将其token值拼接在头部，构造post报文，访问https://manager.target.com/mobileapi/get/orderall(app.js中提取出来的接口）,发现还是返回状态码401，怀疑是token头部字段问题，使用字典对token进行暴力破解，burp暴力破解模块设置如下图所示，其token常用的字段为token,access-token,Authenticator等。

[color=rgba(0, 0, 0, 0.9)]

[color=rgba(0, 0, 0, 0.9)]发现头部身份认证字段为access-token。其返回了大量用户订单。

[color=rgba(0, 0, 0, 0.9)]

0x04 厂商反馈

[color=rgba(0, 0, 0, 0.9)]      漏洞交给了朋友提交，十分钟就得到了厂商反馈，本来以为算高危，厂商给了个严重，良心厂商。

[color=rgba(0, 0, 0, 0.9)]