目录

对BugScan的漏洞挖掘之一

目录
小辛备注:
亮点是从js文件中找到接口,然后才发现接口存在越权漏洞。

全文十万字都写不完

只公开其中一个点

BugScan一共2364个插件

可以查看是3100个插件

用到的工具 Google Chrome、Fiddler 4

/posts/%E5%AF%B9bugscan%E7%9A%84%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98%E4%B9%8B%E4%B8%80/pic/1627631504-1c04e6d9cc396c51e1b793ba04d48964.webp

本文关键:

old.bugscan.net

算是漏洞挖掘吧

前端结构:

HTML+Angularjs

Angularjs是分为model、controller、view

这里重点在JS

看看controller跑哪去了

所以就对metro-controllers.js

进行了简单的分析

App.config 进行了模板的加载

/posts/%E5%AF%B9bugscan%E7%9A%84%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98%E4%B9%8B%E4%B8%80/pic/1627631504-b0a1a05067cc2acd699cde784ad5e68b.webp

Network 记录了每次通讯的请求

每次通讯都是:https://old.bugscan.net/rest

这个地址,有固定的json格式

{“method”:“GetTaskList”,“params”:[0,12,-1,-1,""]}

可以看到有method方法名称,params 参数

因为我是有目的过来的

所以就直接奔向目标了

找到这个方法

/posts/%E5%AF%B9bugscan%E7%9A%84%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98%E4%B9%8B%E4%B8%80/pic/1627631504-bc1658895c3b7a15748280a062a2a65c.jpg

Cached_method 里面的就有我们需要的东西了

“GetPluginList”, “GetPluginDetail”

就是这两个方法了,

去看下对应的params需要什么

首先看看GetPluginList

/posts/%E5%AF%B9bugscan%E7%9A%84%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98%E4%B9%8B%E4%B8%80/pic/1627631504-74620f21a21b3bd98e6981e4daca40c8.webp

请求的方式是

{“method”:“GetPluginList”,“params”:[1,1 ,-1,""]}

Params:1->查询的数量

         1->页数

         -1->类别 -1代表所以

         “"->就是搜索的KEY 插件的名称

返回json格式 可以看看

/posts/%E5%AF%B9bugscan%E7%9A%84%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98%E4%B9%8B%E4%B8%80/pic/1627631504-07bd55e9d241eb10bacec9999cb03c4e.webp

重点就是all,id这两个参数 all 插件总数

id 插件的id (GetPluginDetail 要用到这个ID)

再来看看GetPluginDetail 方法是什么鬼

/posts/%E5%AF%B9bugscan%E7%9A%84%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98%E4%B9%8B%E4%B8%80/pic/1627631504-6ba7f73fe7c0077dadc7623b264aca7b.webp

请求的方式是

{“method”:“GetPluginDetail”,“params”:[3318]}

Params:1->插件对应的id

/posts/%E5%AF%B9bugscan%E7%9A%84%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98%E4%B9%8B%E4%B8%80/pic/1627631504-11ceff14d59830eff84885dca190eae0.jpg

看看3318的插件代码

/posts/%E5%AF%B9bugscan%E7%9A%84%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98%E4%B9%8B%E4%B8%80/pic/1627631504-30b3039a466c37b10d0db4cfe6c7b61c.webp

/posts/%E5%AF%B9bugscan%E7%9A%84%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98%E4%B9%8B%E4%B8%80/pic/1627631504-bd50d6a65586f71c00b38c231a35213f.webp

OK,目标达成,这个点就不再深入了

最后附上一个简单的推测图

/posts/%E5%AF%B9bugscan%E7%9A%84%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98%E4%B9%8B%E4%B8%80/pic/1627631504-cfab6740edb660baf93b66b4779f598b.webp

此文已在一周前提交给BugScan

大牛勿喷


原网址: 访问

创建时间: 2021-07-30 23:51:44

目录: 挖洞案例

标签: 越权