整合营销服务商
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
电脑端+手机端+微信端=数据同步管理
免费咨询热线:
译:h4d35
预估稿费:120RMB
投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿
前言
本篇文章主要介绍了在一次漏洞悬赏项目中如何利用配置错误挖到一个认证绕过漏洞。
从JS文件中发现认证绕过漏洞
本文内容源自一个私有漏洞赏金计划。在这个漏洞计划中,接受的漏洞范围限于目标网站少数几个公开的功能。基于前期发现的问题(当我被邀请进这个计划时,其他人一共提交了5个漏洞),似乎很难再挖到新的漏洞。同时,在赏金详情中提到了这样一句话:
如果你成功进入管理页面,请立即报告,请勿在/admin中进行进一步的测试。
然而,目标网站中存在一个仅限于未认证和未经授权的用户访问的管理页面。当我们访问/login或/admin时会跳转到https://bountysite.com/admin/dashboard?redirect=/。
对登录页面进行暴力破解也许是一个可行方案,但是我并不喜欢这种方式。看一下网页源码,没什么有用的内容。于是我开始查看目标网站的结构。似乎目标网站的JS文件都放在少数几个文件夹中,如/lib、/js、/application等。
有意思!
祭出神器BurpSuite,使用Intruder跑一下看能否在上述文件夹中找到任何可访问的JS文件。将攻击点设置为https://bountysite.com/admin/dashboard/js/*attack*.js。注意,不要忘记.js扩展名,这样如果文件能够访问则返回200响应。确实有意思!因为我找到了一些可访问的JS文件,其中一个文件是/login.js。
访问这个JS文件https://bountysite.com/admin/dashboard/js/login.js,请求被重定向至管理页面:) 。但是,我并没有查看该文件的权限,只能看到部分接口信息。
但是我并没有就此止步。这看起来很奇怪,为什么我访问一个.js文件却被作为HTML加载了呢?经过一番探查,终于发现,我能够访问管理页面的原因在于*login*。是的,只要在请求路径/dashboard/后的字符串中含有*login*(除了'login',这只会使我回到登录页面),请求就会跳转到这个管理接口,但是却没有正确的授权。
我继续对这个受限的管理接口进行了进一步的测试。再一次查看了页面源码,试着搞清楚网站结构。在这个管理接口中,有其他一些JS文件能够帮助我理解管理员是如何执行操作的。一些管理操作需要一个有效的令牌。我试着使用从一个JS文件中泄露的令牌执行相关管理操作,然并卵。请求还是被重定向到了登录页面。我发现另外一个真实存在的路径中也部署了一些内容,那就是/dashboard/controllers/*.php。
再一次祭出BurpSuite,使用Intruder检查一下是否存在可以从此处访问的其他任何路径。第二次Intruder的结果是,我发现几乎不存在其他无需授权即可访问的路径。这是基于服务器返回的500或者200响应得出的结论。
回到我在上一步侦察中了解到的网站结构中,我发现这些路径是在/controllers中定义的,通过/dashboard/*here*/进行访问。但是直接访问这些路径会跳转到登录页面,似乎网站对Session检查得还挺严格。此时我又累又困,几乎都打算放弃了,但是我想最后再试一把。如果我利用与访问管理页面相同的方法去执行这些管理操作会怎么样呢?很有趣,高潮来了:) 我能够做到这一点。
通过访问/dashboard/photography/loginx,请求跳转到了Admin Photography页面,并且拥有完整的权限!
从这里开始,我能够执行和访问/dashboard/*路径下的所有操作和目录,这些地方充满了诸如SQL注入、XSS、文件上传、公开重定向等漏洞。但是,我没有继续深入测试,因为这些都不在赏金计划之内,根据计划要求,一旦突破管理授权限制,应立即报告问题。此外,根据管理页面显示的调试错误信息可知,我之所以能够访问到管理页面,是因为应用程序在/dashboard/controllers/*文件中存在错误配置。期望达到的效果是:只要请求链接中出现*login*,就重定向至主登录页面,然而,实际情况并不如人所愿。
后记
总之,这是有趣的一天!我拿到了这个漏洞赏金计划最大金额的奖励。
Axios 是一个基于 promise 的 HTTP 库,可以用在浏览器和 node.js 中。我们知道 Promise 是 js 异步的一种解决方案,它最大的特性就是可以通过 .then 的方式来进行链式调用。
其实说白了axios是对ajax的封装,axios有的ajax都有,ajax有的axios不一定有,总结一句话就是axios是ajax,ajax不止axios。
axios的使用比较简单,文档讲得也非常清晰,你应该先阅读axios的官方文档:axios文档。
在html页面中直接引入使用:
<script src="https://unpkg.com/axios/dist/axios.min.js"></script>以下案例中的get请求地址为crmeb相关演示站地址,可用于测试获取!
<script>
const url = 'https://store.crmeb.net/api/pc/get_category_product'
axios({
url: url,
method: 'get', // 这里可以省略,默认为get
}).then(res => {
// 返回请求到的数据
console.log(res)
}).catch(err => {
// 返回错误信息
console.log(err)
})
</script><script>
const url = 'https://store.crmeb.net/api/pc/get_category_product'
axios({
url: url,
method: 'get', // 这里可以省略,默认为get
// 这里的键值对会拼接成这样url?page=1&limit=3
params: {
page: 1,
limit: 3
}
}).then(res => {
// 返回请求到的数据
console.log(res)
}).catch(err => {
// 返回错误信息
console.log(err)
})
</script><script>
axios({
method: 'post',
url: '/user/12345',
data: {
firstName: 'Fred',
lastName: 'Flintstone'
}
}).then(res => {
// 返回请求到的数据
console.log(res)
}).catch(err => {
// 返回错误信息
console.log(err)
});
</script>如果在开发中需要等到多个接口的数据同时请求到后才能继续后边的逻辑,那么即可使用并发请求,axios并发请求,使用all方法,all方法的参数为一个数组,数组的每个值可以为一次请求,请求完成后直接.then即可合并两次请求的数据,返回结果为一个数组!
<script>
axios.all([
axios({
url: 'https://store.crmeb.net/api/pc/get_products',
params: {
page: 1,
limit: 20,
cid: 57,
sid: 0,
priceOrder: '',
news: 0,
}
}),
axios({
url: 'https://store.crmeb.net/api/pc/get_company_info',
})
]).then(results => {
console.log(results)
})
</script>如果你想自动把这个数组展开的话在then()方法中传入axios.spread()方法即可,如下所示:
<script>
axios.all([
axios({
url: 'https://store.crmeb.net/api/pc/get_products',
params: {
page: 1,
limit: 20,
cid: 57,
sid: 0,
priceOrder: '',
news: 0,
}
}),
axios({
url: 'https://store.crmeb.net/api/pc/get_company_info',
})
]).then(axios.spread((res1, res2) => {
console.log(res1);
console.log(res2);
}))
</script>但在使用vue组件化开发的时候一般我们会通过npm安装,引入项目!
npm install axios --save一般在实际项目中我们并不会像上边这样直接去使用axios请求数据,而是将axios封装在一个单独的文件,这样做的目的主要是用来抽取公共逻辑到一个配置文件里,对这些公共逻辑做一个封装,即使某一天这个axios框架不维护了,或者出现了重大bug也不再修复的时候,我们可以只修改配置文件即可达到全局修改的目的,如果把每次请求逻辑都写到对应的组件中,那修改起来简直就是一个噩梦!
在项目的src目录下创建一个network文件夹,再在其中创建一个request.js文件,路径为:src/network/request.js
// src/network/request.js
// 引入axios
import axios from 'axios'
// 这里未使用default导出,是为了以后的扩展,便于导出多个方法
export function request(config){
// 创建axios实例
const instance = axios.create({
// 这里定义每次请求的公共数据,例如全局请求头,api根地址,过期时间等
// 具体参数可参考axios的官方文档
baseURL: 'http://demo26.crmeb.net/api',
timeout: 5000
})
// 拦截请求,如果获取某个请求需要携带一些额外数据
instance.interceptors.request.use(
config => {
console.log(config);
return config;
}, err => {
console.log(err);
})
// 拦截响应
instance.interceptors.response.use(
res => {
console.log(res)
return res.data
}, err => {
console.log(err)
}
)
// 发送请求
return instance(config) 一般我们会将所有的请求放在一个api.js文件中,将每次请求封装为一个方法,比如我这里会在request.js的同目录创建一个api.js文件封装我们所有的请求。
import { request } from '../api/request'
// 获取分类
export const getHomeCategory = () => {
return request({
url: '/category'
})
}
// 获取banner图
export const getHomeBanner = () => {
return request({
url: '/pc/get_banner'
})
}之后再在组件中引入调用导出的相关接口方法即可,如:
import { getHomeBanner } from "../network/api"
getHomeBanner().then(res => {
console.log(res)
})以上就是一个简单的封装,其中有个拦截请求和拦截响应,可能很多初学的人理解起来有点吃力,我在这里以个人浅见阐述,希望能带给你些许启发!
还是发挥阅读理解能力,拦截拦截其实就是此路是我开,此树是我栽,要想过此路,留下买路钱,拦截请求就是比如某些请求需要携带一些额外的信息才能访问,实际项目中最常见的就是需要登录后才能查看的信息,请求中就必须携带token才能访问,就可以在这里处理,还有拦截响应,比如请求到数据之后,发现不符合要求,先拦下来处理一下,再返回给前端,这就是一个拦截器的基本工作流程!
如下所示:
// 拦截请求,如果获取某个请求需要携带一些额外数据
instance.interceptors.request.use(
config => {
console.log(config);
return config;
}, err => {
console.log(err);
})
// 拦截响应
instance.interceptors.response.use(
res => {
console.log(res)
return res.data
}, err => {
console.log(err)
}
)axios还为我们提供了一些全局配置,如下:
axios.defaults.baseURL = 'https://api.example.com';
axios.defaults.headers.common['Authorization'] = AUTH_TOKEN;
axios.defaults.headers.post['Content-Type'] = 'application/x-www-form-urlencoded';当然也可以将其配置在我们之前创建的axios实例中,使其只作用于某个实例!
然后来看一下 axios 的所有配置信息:
数据来自axios中文文档
各种请求体格式中,文件上传是比较特殊的一种,通常其content-type请求头为multipart/form-data,可以提交文本与文件混合的请求数据。这一节我们通过两个例子来看看postman怎么调用文件上传的请求。
以特斯汀学院自动化测试平台项目上传头像图片的接口为例。
项目地址:http://www.testingedu.com.cn/mypro/#/login
接口地址:http://www.testingedu.com.cn/mypro/api/user/setavatar
从接口抓包信息中可以看到,Content-Type为multipart/form-data; boundary=----WebKitFormBoundarysArkjRsb6TbgepSl,其中的boundry是作为请求体多个部分的参数的分割线边界的,从请求体内容第一行就可以看到这个分割线的值。
在Postman中完成该文件上传接口的调用时,需要选择body中的form-data,在填写内容时注意将鼠标移到key列输入框的右侧,会出现一个下拉框,可以选择参数类型为Text或者File,针对文件参数选择File,并填写抓包信息中获取到的键名file,最后在VALUEL列中选择要上传的文件。
设置完请求体之后查看请求头可以看到Content-Type的值已经被自动设置为multipart/form-data,而boundry字段则是在请求发送时计算得到。所以使用postman完成文件上传接口请求时,并不需要额外设置Content-Type。
要注意,设置头像接口需要前置调用测试平台登录接口之后才能正常完成请求,否则会提示缺少user_id字段,在请求前先参考json格式请求章节的示例登录接口http://www.testingedu.com.cn/mypro/api/user/login完成登录操作之后再调用设置头像接口。
这里,我们完成了一个只有文件参数的文件上传接口,接下来,再看一个除了文件参数,还有文本格式参数的文件上传接口。
以特斯汀电商项目个人信息修改头像的接口为例。
项目地址:http://www.testingedu.com.cn:8000/Home/User/info.html
接口地址:http://www.testingedu.com.cn:8000/index.php/home/Uploadify/imageUp/savepath/head_pic/pictitle/banner/dir/images.html
从抓包信息中可以看到,请求体中包含了多段由boundry分割开的请求参数内容,除了上传的文件参数之外,还包含了部分纯文本内容的参数。
将fiddler切换到WebForms格式显示则可以看到完整的参数列表,每一行的参数名为其中name指定的字段。
在Postman中完成请求时,针对同时出现文件和文本格式的请求,在选择填写的参数类型时,根据对应类型进行选择并填写。
由此可以看到,文件上传格式处理时,在Postman里只需要按照请求参数格式选择并逐个填写,并不复杂。
至此,在Postman中完成常见的几种请求体格式的请求操作都已实现。
回顾总结一下,常用的接口测试请求体的编辑格式包括如下几种,和Content-Type头域分别对应:
在Postman中使用x-www-form-urlencoded进行填写,或者使用raw格式填写,再手动设置Content-Type
在Postman中使用raw格式选择json完成填写。
在Postman中使用raw格式填写,再手动设置Content-Type为text/xml。
在Postman中使用form-data填写,注意文件和文本类型格式,分别选择Text和File格式。
*请认真填写需求信息,我们会在24小时内与您取得联系。
